Der Experte erstellt eine PoC-Exploit, umgeht Patchguard Schutz

Türkisch-Sicherheitsspezialist Can Bölük hat eine PoC erstellt ausnutzen, dass das Microsoft Kernel Patch Protection umgeht (KPP) Sicherheitsfunktionen, besser bekannt als Patchguard.

Hist Werkzeug benannt ByePg, und der Exploit betrifft HalPrivateDispatchTable, die letztlich ermöglicht die bösartige Anwendung mit dem Kernel stören.

Das Microsoft Kernel Patch Protection (KPP) Feature, besser bekannt als Patchguard, in eingeführt zurück 2005 in Windows XP. Es ist nur für 64-Bit-Versionen von Windows, und seine Rolle ist Interferenz von Anwendungen mit dem Kernel zu verhindern.

„Essencially, vor der Freigabe von Patchguard, viele Anwendungen ließen sich die Windows-Kernel modifizieren, um ihre Arbeit oder Verstärkung Zugriff auf verschiedene Funktionen erleichtern. Antiviren Software, Treiber, Spiel Cheats und Malware oft „geflickt“ die Kernel für ganz andere Zwecke“, – sagte Sicherheitsexperten.

Im Speziellen, Rootkit-Entwickler waren sehr gern solche Techniken, weil dies ihnen erlaubt Malware auf OS-Ebene zu implementieren, gibt es unbegrenzten Zugriff auf die Maschine des Opfers.

Im Laufe der Zeit, Patchguard verblasst in den Hintergrund, vor dem Hintergrund der zahlreichen Mechanismen Windows-Sicherheit, aber Informationen Sicherheitsexperten weiterhin diese Funktion nutzen und sucht nach neuen Wegen, um Bypass-Schutz.

Deshalb, Im 2015, nach der Veröffentlichung von Windows 10, CyberArk Spezialisten führten einen Umweg genannt Patchguard GhostHook. Er benutzte den Intel-Prozessor Trace (PT) Bypass-Funktion zu Patchguard und die Kernel-Patch. Dann, Im Sommer dieses Jahres, der Riot Games Experte fand eine andere Art und Weise zu umgehen Schutz, was genannt wurde InfinityHook und die NtTraceEvent API zur Arbeit verwendet.

Jetzt wurde mit HalPrivateDispatchTable in dem Bypass-Schutz erstellt ByePg.

„Das Potenzial für ByePg verwendet, wird allein durch die Kreativität der Person beschränkt, die es verwendet. Schlechter, ByePG hilft circumvent nicht nur Patchguard, sondern auch Hypervisor-Protected-Code Integrität (HVCI), eine Funktion, die Microsoft auf schwarze Liste Treiber verwendet“, – stellt fest, den Entwickler des Exploits.

Alle drei dieser Methoden zur Umgehung von Sicherheitsmerkmalen öffentlich zugänglich werden, wie Microsoft Ausschlag nicht zu Problem Patches und schließen diese Lücken (obwohl Patches für GhostHook und InfinityHook wurden schließlich geschaffen). Tatsache ist, dass solche Taten Administratorrechte Arbeit erfordern, ist, warum das Unternehmen sich weigert, sie als Sicherheitsprobleme zu klassifizieren.

Microsoft-Entwickler sind zuversichtlich, dass, wenn ein Angreifer Zugriff auf das lokale System mit Administratorrechten gewonnen, dann kann er alle Operationen durchführen. Die Frage ist, dass diese „Entschuldigung“Kaum für Patchguard, da der Schutzmechanismus speziell zum Schutz des Kernel von Prozessen mit hohen Privilegien entwickelt wurde, wie Treiber oder Antivirus-Software.

lesen Sie auch: Der berühmte infostealer „Agent Tesla“ hat eine ungewöhnliche Tropfer

Es wird auch durch die Tatsache, dass die Probleme in Patchguard fallen nicht unter der Bug Bounty Programm kompliziert, und Spezialisten, die solche Fehler nicht finden können Geldprämie erwarten. Ein Microsoft-Mitarbeiter, der anonym bleiben wollte, sagte ZDNet Reporter, dass das Patchguard Probleme des Unternehmens sind überhaupt nicht ignoriert, und Fixes für sie kommen, wenn auch ein wenig langsamer als anderer Patches.

jedoch, die Forscher, wohl wissend, dass sie kein Geld erhalten, und dass CVE-IDs werden nicht zugewiesen werden Verwundbarkeiten, bevorzugen die Ergebnisse ihrer Forschung in der Öffentlichkeit und sind in der Regel nur ungern solche Probleme zu veröffentlichen studieren.

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"