Tyrkisk sikkerhed specialist kan Bölük har skabt en PoC udnytte, der omgår Microsoft Kernel Patch Protection (KPP) sikkerhedsfunktioner, bedre kendt som PatchGuard.
Her værktøj er opkaldt ByePg, og udnytte bekymringer HalPrivateDispatchTable, som i sidste ende gør det muligt for ondsindet program til at interferere med kernen.Det Microsoft Kernel Patch Protection (KPP) funktion, bedre kendt som PatchGuard, blev introduceret tilbage i 2005 i Windows XP. Det er kun tilgængelig for 64-bit versioner af Windows, og dets rolle er at forhindre interferens af ansøgninger med kernen.
”Essencially, forud for frigivelsen af PatchGuard, mange programmer tilladt sig at ændre Windows-kernen for at lette deres arbejde eller får adgang til forskellige funktioner. Antivirusprogrammer, drivere, spil snyder og malware ofte ”lappet” kernen til helt andre formål”, – sagde sikkerhedseksperter.
I særdeleshed, rootkit udviklere var meget glad for sådanne teknikker, fordi dette tillod dem at gennemføre malware på OS niveau, giver det ubegrænset adgang til ofrets maskine.
Over tid, PatchGuard falmet i baggrunden, på baggrund af en lang række Windows-sikkerhedsmekanismer, men informationssikkerhed eksperter fortsatte med at bruge denne funktion og udseende efter nye måder at omgå beskyttelsen.
Derfor, I 2015, efter udgivelsen af Windows 10, CyberArk specialister indført en PatchGuard omvej kaldet GhostHook. Han brugte Intel Processor Trace (PT) funktion til bypass PatchGuard og lappe kernen. derefter, i sommeren i år, Den Riot Games ekspert fundet en anden måde at omgå beskyttelsen, som blev kaldt InfinityHook og brugt NtTraceEvent API til at arbejde.
Nu er der skabt ByePg med HalPrivateDispatchTable til bypass-beskyttelse.
”Potentialet for at bruge ByePg udelukkende begrænset af kreativitet på den person, der bruger det. Værre, ByePG hjælper omgå ikke kun PatchGuard, men også Hypervisor-Beskyttet Code Integrity (HVCI), en funktion, som Microsoft bruger til blackliste drivere”, – bemærker udvikleren af udnytte.
Alle tre af disse metoder til omgåelse sikkerhedsfunktioner er blevet offentligt tilgængelige, som Microsoft ikke udslæt at udstede patches og nære disse huller (selvom patches til GhostHook og InfinityHook i sidste ende blev skabt). Faktum er, at sådanne udnyttelser kræver administratorrettigheder til arbejde, der hvorfor selskabet nægter at klassificere dem som sikkerhedsproblemer.
Microsoft-udviklere er overbeviste om, at hvis en hacker fået adgang til det lokale system med administratorrettigheder, så kan han udføre alle operationer. Spørgsmålet er, at denne ”undskyldning”Er næppe anvendelig til PatchGuard, fordi den beskyttende mekanisme er designet specielt til at beskytte kernen fra processer med høje privilegier, såsom drivere eller antivirussoftware.
Læs også: Den berømte infostealer ”Agent tesla” har en usædvanlig dropper
Det er også kompliceret af, at problemerne i PatchGuard ikke falder ind under den bug bounty program, og specialister, der finder sådanne bugs kan ikke forvente kontant belønning. En Microsoft medarbejder, der ønskede at være anonym fortalte ZDNet journalister, at virksomhedens PatchGuard problemer ikke ignoreres overhovedet, og rettelser til dem kommer ud, omend lidt langsommere end andre plastre.
imidlertid, forskerne, vel vidende, at de ikke vil modtage penge, og at CVE-id'er vil ikke blive tildelt sårbarheder, foretrækker at offentliggøre resultaterne af deres forskning i det offentlige rum og er generelt tilbageholdende med at studere sådanne problemer.
