Der Experte erstellt eine PoC-Exploit, umgeht Patchguard Schutz

Türkisch-Sicherheitsspezialist Can Bölük hat eine PoC erstellt ausnutzen, dass das Microsoft Kernel Patch Protection umgeht (KPP) Sicherheitsfunktionen, besser bekannt als Patchguard.

Hist Werkzeug benannt ByePg, und der Exploit betrifft HalPrivateDispatchTable, die letztlich ermöglicht die bösartige Anwendung mit dem Kernel stören.

Das Microsoft Kernel Patch Protection (KPP) Feature, besser bekannt als Patchguard, in eingeführt zurück 2005 in Windows XP. Es ist nur für 64-Bit-Versionen von Windows, und seine Rolle ist Interferenz von Anwendungen mit dem Kernel zu verhindern.

„Essencially, vor der Freigabe von Patchguard, viele Anwendungen ließen sich die Windows-Kernel modifizieren, um ihre Arbeit oder Verstärkung Zugriff auf verschiedene Funktionen erleichtern. Antiviren Software, Treiber, Spiel Cheats und Malware oft „geflickt“ die Kernel für ganz andere Zwecke“, – sagte Sicherheitsexperten.

Im Speziellen, Rootkit-Entwickler waren sehr gern solche Techniken, weil dies ihnen erlaubt Malware auf OS-Ebene zu implementieren, gibt es unbegrenzten Zugriff auf die Maschine des Opfers.

Im Laufe der Zeit, Patchguard verblasst in den Hintergrund, vor dem Hintergrund der zahlreichen Mechanismen Windows-Sicherheit, aber Informationen Sicherheitsexperten weiterhin diese Funktion nutzen und sucht nach neuen Wegen, um Bypass-Schutz.

Deshalb, Im 2015, nach der Veröffentlichung von Windows 10, CyberArk Spezialisten führten einen Umweg genannt Patchguard GhostHook. Er benutzte den Intel-Prozessor Trace (PT) Bypass-Funktion zu Patchguard und die Kernel-Patch. Dann, Im Sommer dieses Jahres, der Riot Games Experte fand eine andere Art und Weise zu umgehen Schutz, was genannt wurde InfinityHook und die NtTraceEvent API zur Arbeit verwendet.

LESEN  Lagerung SCOPED nicht Android Q schützen

Jetzt wurde mit HalPrivateDispatchTable in dem Bypass-Schutz erstellt ByePg.

„Das Potenzial für ByePg verwendet, wird allein durch die Kreativität der Person beschränkt, die es verwendet. Schlechter, ByePG hilft circumvent nicht nur Patchguard, sondern auch Hypervisor-Protected-Code Integrität (HVCI), eine Funktion, die Microsoft auf schwarze Liste Treiber verwendet“, – stellt fest, den Entwickler des Exploits.

Alle drei dieser Methoden zur Umgehung von Sicherheitsmerkmalen öffentlich zugänglich werden, wie Microsoft Ausschlag nicht zu Problem Patches und schließen diese Lücken (obwohl Patches für GhostHook und InfinityHook wurden schließlich geschaffen). Tatsache ist, dass solche Taten Administratorrechte Arbeit erfordern, ist, warum das Unternehmen sich weigert, sie als Sicherheitsprobleme zu klassifizieren.

Microsoft-Entwickler sind zuversichtlich, dass, wenn ein Angreifer Zugriff auf das lokale System mit Administratorrechten gewonnen, dann kann er alle Operationen durchführen. Die Frage ist, dass diese „Entschuldigung“Kaum für Patchguard, da der Schutzmechanismus speziell zum Schutz des Kernel von Prozessen mit hohen Privilegien entwickelt wurde, wie Treiber oder Antivirus-Software.

lesen Sie auch: Der berühmte infostealer „Agent Tesla“ hat eine ungewöhnliche Tropfer

Es wird auch durch die Tatsache, dass die Probleme in Patchguard fallen nicht unter der Bug Bounty Programm kompliziert, und Spezialisten, die solche Fehler nicht finden können Geldprämie erwarten. Ein Microsoft-Mitarbeiter, der anonym bleiben wollte, sagte ZDNet Reporter, dass das Patchguard Probleme des Unternehmens sind überhaupt nicht ignoriert, und Fixes für sie kommen, wenn auch ein wenig langsamer als anderer Patches.

jedoch, die Forscher, wohl wissend, dass sie kein Geld erhalten, und dass CVE-IDs werden nicht zugewiesen werden Verwundbarkeiten, bevorzugen die Ergebnisse ihrer Forschung in der Öffentlichkeit und sind in der Regel nur ungern solche Probleme zu veröffentlichen studieren.

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort