Уязвимости Windows 10

Уязвимости Windows 10

0 67

На прошлой неделе Лаборатория Касперского продемонстрировала атаку, которая может включить установку вредоносного кода руткита под 64-разрядную версию Windows 10. Атака с доказательством концепции переопределяет функцию PatchGuard операционной системы.

Microsoft PatchGuard была разработана для предотвращения вредоносного кода для исправления ядра 64-разрядных операционных систем Windows. Официальное название функции — Kernel Patch Protection, и в 2005 году она была представлена ​​с 64-разрядной Windows XP. Один тип атаки, который PatchGuard был разработан для смягчения, — это вредоносное ПО, которое представляет собой обновление для системы безопасности Windows.
Метод атаки GhostHook исследователей CyberArk Labs нацелен на уязвимость того, как Windows 10 реализует трассировку процессора Intel. Intel PT может использоваться для отладки, анализа вредоносных программ и обнаружения эксплойтов. Исследователи обнаружили, что если они выделяют очень небольшой буфер памяти для обработки пакетов Intel PT, может возникнуть переполнение буфера, которое открывает обработчик PMI. К сожалению, PatchGuard не предназначен для мониторинга обработчиков PMI.

Когда CyberArk Labs сообщили Microsoft об этой уязвимости, они решили не включать исправление в обновление безопасности. Microsoft утверждает, что злоумышленник должен иметь доступ на уровне ядра на целевой машине. Они сказали, что могут исправить уязвимость Intel PT в будущем исправлении ошибок, но они не считают это недостатком безопасности. По словам инженера Microsoft: «Таким образом, это не соответствует требованиям к обслуживанию в обновлении безопасности; Однако он может быть рассмотрен в будущей версии Windows. Поэтому я закрыл это дело.

Исследователь CyberArk Касиф Декель не соглашался с утверждением Microsoft о том, что злоумышленнику потребуется доступ на уровне ядра для успешной атаки. «Получение такого уровня доступа — это столовые ставки для злоумышленников, обычно достигаемые с помощью простых фишинговых писем. Этот метод заключается в перемещении за пределы прав администратора и использовании машины на уровне ядра. Атакующие смогут получить полный контроль над сетью и получить возможность перехватывать что-либо в системе », — сказал он.

GhostHook — это первый известный метод атаки для использования перехвата, чтобы получить контроль над уровнем 64-разрядных операционных систем на уровне ядра.

Вам также могут понравиться Еще от автора

Оставьте ответ

Ваш электронный адрес не будет опубликован.