especialista en seguridad de Turquía Can Boluk ha creado un PoC explotar que no pasa por el Kernel Patch Protection Microsoft (KPP) características de seguridad, mejor conocido como PatchGuard.
Hes una herramienta es nombrado ByePg, y la hazaña preocupaciones HalPrivateDispatchTable, que en última instancia permite que la aplicación maliciosa para interferir con el núcleo.los Kernel Patch Protection Microsoft (KPP) característica, mejor conocido como PatchGuard, se introdujo de nuevo en 2005 en Windows XP. Sólo está disponible para las versiones de 64 bits de Windows, y su función es prevenir la interferencia de las aplicaciones con el kernel.
“Essencially, antes de la liberación de PatchGuard, muchas aplicaciones se dejaron modificar el núcleo de Windows para facilitar su trabajo o tener acceso a varias funciones. Software antivirus, conductores, trucos de juegos y programas maliciosos a menudo “parcheado” el núcleo para fines completamente diferentes”, – dichos expertos en seguridad.
En particular, desarrolladores de rootkit eran muy aficionados a este tipo de técnicas, porque esto les permitió poner en práctica el malware a nivel de sistema operativo, lo que le da acceso ilimitado a la máquina de la víctima.
A través del tiempo, PatchGuard se desvaneció en el fondo, en el contexto de numerosos mecanismos de seguridad de Windows, pero los expertos en seguridad de la información continuaron usando esta funcionalidad y buscar nuevos caminos a la protección de bypass.
Por lo tanto, En 2015, después del lanzamiento de Windows 10, CyberArk especialistas introdujeron un desvío PatchGuard llamada GhostHook. Se utiliza el procesador Intel Traza (PT) función para PatchGuard bypass y parchear el kernel. entonces, en el verano de este año, el experto Riot Games encontró otra manera de saltarse la protección, que fue llamado InfinityHook y se utiliza la API NtTraceEvent al trabajo.
Ahora se ha creado con ByePg HalPrivateDispatchTable a la protección de bypass.
“El potencial para el uso de ByePg está limitada únicamente por la creatividad de la persona que lo usa. Peor, ByePG ayuda a eludir no sólo PatchGuard, sino también hipervisor-Protected Código Integridad (HVCI), una característica que usa Microsoft para los conductores de la lista negra”, – señala el desarrollador de la hazaña.
Los tres de estos métodos de pasar por las características de seguridad se han vuelto a disposición del público, como Microsoft no imprudente para emitir parches y cerrar estas brechas (A pesar de que se han creado en última instancia, parches para GhostHook y InfinityHook). El hecho es que tales hazañas requieren derechos de administrador en el trabajo que está por qué la empresa se niega a clasificarlos como problemas de seguridad.
Los desarrolladores de Microsoft confían en que si un atacante tuvo acceso al sistema local con derechos de administrador, entonces él puede realizar ninguna operación. La cuestión es que este “excusa”Es difícilmente aplicable a PatchGuard, debido a que el mecanismo de protección ha sido diseñado específicamente para proteger el núcleo de los procesos con altos privilegios, tales como controladores o software antivirus.
leer también: El famoso Infostealer “Agente de Tesla” tiene un cuentagotas inusual
También se complica por el hecho de que los problemas en PatchGuard no entran en el programa de recompensas de errores, y los especialistas que se encuentran estos insectos no pueden esperar recompensa en efectivo. Un empleado de Microsoft que desea permanecer en el anonimato dijo ZDNet reporteros que los problemas PatchGuard de la compañía no se tienen en cuenta en absoluto, y correcciones para que salgan, aunque un poco más lento que otros parches.
sin embargo, los investigadores, sabiendo que no van a recibir dinero, y que los identificadores CVE no serán asignados vulnerabilidades, prefieren publicar los resultados de sus investigaciones en el dominio público y en general son reacios a estudiar este tipo de problemas.
