CyberArk實驗室的研究人員開發一種入侵后技術，將其命名為“BoundHook”，攻擊者可利用自英特爾第六代微處理器架構Skylake以來推出的所有英特爾芯片MPX功能（內存保護擴展功能）Hook軟件組件之間傳遞的函數調用，這樣一來，攻擊者便可操控并監控大量Windows應用程序。借助這種技術，攻擊者可從任何進程執行代碼，躲避反病毒軟件以及其它安全檢測。

hook是Windows提供的一種消息處理機制,它使得程序員可以使用子過程來監視系統消息,并在消息到達目標過程前得到處理。

CyberArk的安全研究人員Kasif Dekel（卡瑟夫·德克爾）表示，利用Hook的軟件包括：

應用程序安全解決方案；

系統實用程序；

編程工具；

惡意軟件等等。

Dekel表示，這種PoC攻擊的先決條件得有支持MPX（Skylake或此后的架構）的英特爾CPU，同時還需運行Windows 10（64位或32位）系統。此外，攻擊者還必須攻破目標系統。

CyberArk資深安全研究員Doron Naim（多倫·納伊姆）表示，此類攻擊的精妙之處在于攻擊者可規避檢測。

研究人員周三發布技術報告解釋稱，BoundHook技術能在用戶模式下的指定內存位置引起異常。接下來，該技術能捕捉異常，并控制特定應用程序使用的線程執行，例如，通過該技術可攔截Windows和特定服務之間傳遞的鍵盤事件消息，從而捕捉或操控受害者的擊鍵。

這種技術與GhostHook類似。GhostHook能通過英特爾Processor Trace功能繞過微軟Windows 10的PatchGuard內核保護。GhostHook技術可繞過PatchGuard，通過Hook在內核層面控制設備。

微軟和英特爾并不將GhostHook和BoundHook視為漏洞，他們均向CyberArk表示不會修復BoundHook問題，因為這類攻擊要求攻擊者完全攻破目標系統。

Naim表示，國家黑客可能會利用此類攻擊。一些臭名昭著的針對性黑客入侵，例如Flame和Shamoon能輕易利用惡意軟件在設備和網絡上建立立足點，一旦有了立足點，攻擊者不輕易被察覺。

CyberArk在博文中表示，即使BoundHook不符合微軟界定漏洞的要求，他們也應當解決此類問題。

微軟回應研究人員稱，其調查發現這并不是一個漏洞，而是設備被攻破時躲避檢測的一種技術。

CyberArk的研究人員表示，管理員應當限制賬號權限，最小化BoundHook攻擊的橫向滲透風險。

Naim指出，之所以發布這項研究成果有兩大目的：

其一是引起關注，以便微軟最終能解決這個問題。

其二，研究人員希望強化終端用戶保護管理員權限的意識，因為管理員權限受保護的情況下，用戶便不會遭受BoundHook攻擊。