安全專家稱已經發現了一種可以繞過Windows PatchGuard保護,并將惡意程序鉤子植入至Windows內核的方法。這也意味著攻擊者可以在曾被認為是堅不可摧的系統上安裝rootkit程序。
PatchGuard以內核修改保護 (KPP)而被人們所熟知,也是微軟在Windows 64位版本的系統上做出的重要安全舉措,其可以有效的防止第三方代碼,使用其他例程來修補Windows內核。
PatchGuard從2005年推出至今,從Windows XP開始已經阻止了大多數在64位版本上運行的rootkit。
GhostHook攻擊利用了Intel PT功能
近日,來自CyberArk的安全研究人員發表了一項名為GhostHook的新技術研究成果。該技術利用了Intel CPU的功能,并最終成功繞過了PatchGuard。
據研究人員介紹,GhostHook僅針對運行英特爾 處理器(PT)的系統,英特爾 CPU有個功能就是使用專門的硬件,來捕獲有關當前軟件執行的信息,以幫助調試操作和檢測惡意代碼。
通常,進入英特爾 PT操作,需要攻擊者將惡意功能代碼以打補丁的方式寫入到內核級代碼,而這樣的操作顯然會被PatchGuard立即阻止和檢測到。
CyberArk的研究人員表示,他們發現通過為處理Intel PT數據包分配一個非常小的緩沖區,可以導致CPU緩沖區空間耗盡,并打開一個PMI處理程序來管理溢出的代碼。
而PatchGuard對PMI處理程序沒有進行監視,因此攻擊者可以通過該PMI處理程序hook惡意代碼,并完成內核修補操作。
這為攻擊者提供了一種很好的不可檢測的,可以修補Windows內核并在Windows 64位版本上嵌入rootkit的方法。
GhostHook技術甚至還可以運用在Windows 10上,然而目前針對win 10有效的rootkit還不是很多。
微軟否認GhostHook攻擊威脅
CyberArk表示,他曾向微軟報告了關于GhostHook的攻擊細節。但微軟對此不以為然,并拒絕就此發布安全更新。微軟表示,他們可能會在常規bug修復周期中修復該發現,但不會將GhostHook視為安全漏洞。
微軟公司表示,攻擊者需要在受感染的機器上進行內核級訪問,以執行GhostHook攻擊。而具有內核級權限的攻擊者,可能還會執行許多其他的惡意操作。因此,用戶應將重點放在防止攻擊者獲得這一級別的訪問權限上。
CyberArk對此也做了回應,并重申了他的觀點。CyberArk說,這個問題的重點并不在于攻擊者的訪問級別上,重點在于攻擊者可以繞過PatchGuard,這也就意味著在64位的Windows版本上為rootkit開啟了一道“上帝之門”,也讓攻擊者在這些系統植入rootkit成為了可能。
目前,惡意軟件市場針對64位操作系統的惡意軟件占比不到1%,這得益于PatchGuard強大的安全防護。更多有關GhostHook攻擊的技術細節請點擊。
*參考來源:bleepingcomputer,FB小編 secist 編譯,轉載請注明來自FreeBuf.COM
京公網安備 11010502049343號