전문가는 그 패치 가드 보호를 우회 이용 의한 PoC를 생성

터키어 보안 전문가 캔 Bölük가의 PoC를 만들었습니다 즉, 마이크로 소프트 커널 패치 보호를 우회 공격 (KPP) 보안 기능, 더 나은 패치 가드로 알려져.

H도구입니다 ~ 라 불려진다 ByePg, 그리고이 문제를 악용 HalPrivateDispatchTable, 궁극적으로 커널을 방해하는 악성 응용 프로그램이 있습니다.

그만큼 마이크로 소프트 커널 패치 보호 (KPP) 특색, 더 나은 패치 가드로 알려져, 다시 도입 2005 에서 윈도우 XP. 그것은 단지 64 비트 버전의 Windows 사용할 수 있습니다, 그 역할은 커널과 응용 프로그램의 간섭을 방지하는 것입니다.

"Essencially, 패치 가드의 출시에 앞서, 많은 응용 프로그램은 다양한 기능을 자신의 일이나 이득 접근을 용이하게하기 위해 Windows 커널을 수정하는 자신을 허용. 바이러스 백신 소프트웨어, 드라이버, 게임 속임수와 악성 코드들은 "패치"완전히 다른 목적을 위해 커널 ", – 말했다 보안 전문가.

특히, 루트킷 개발자는 기술을 매우 좋아했다, 이 허용하기 때문에 그들은 OS 레벨에서 악성 코드 구현, 그것을 피해자의 컴퓨터에 무제한 액세스를 제공.

시간이 지남에, 패치 가드는 배경으로 퇴색, 다수의 윈도우 보안 메커니즘의 배경에 대해, 하지만 정보 보안 전문가는 바이 패스 보호 할 수있는 새로운 방법을이 기능과 모양을 계속 사용.

따라서, 에서 2015, 윈도우의 출시 후 10, CyberArk 전문가라는 패치 가드 우회 소개 GhostHook. 그는 인텔 프로세서 추적을 사용 (PT) 바이 패스 패치 가드로 기능하고 커널 패치. 그때, 올해의 여름, 폭동 게임 전문가는 보호 우회 또 다른 방법을 찾아, 이는 불렀다 InfinityHook 작업에 NtTraceEvent API를 사용.

이제 바이 패스 보호 HalPrivateDispatchTable로 ByePg 생성 된.

"ByePg를 사용하는 잠재력은 그것을 사용하는 사람의 창의성에 의해서만 제한된다. 보다 나쁜, ByePG는 우회하기뿐만 아니라 도움이 패치 가드, 또한 코드 무결성을 하이퍼 바이저로 보호 (HVCI), 기능 Microsoft는 블랙리스트 드라이버에 사용 ", – (가) 악용의 개발자 노트.

우회 보안 기능이 방법의 세 가지가 공개되었다, Microsoft는 문제 패치와 가까운 이러한 차이에 발진하지 않는 한 (GhostHook 및 InfinityHook에 대한 패치는 궁극적으로 만들어진 있지만,). 사실은 공격이 회사가 보안 문제로 분류 거부 이유 일에 대한 관리자 권한을 필요로한다는 것입니다.

마이크로 소프트 개발자는 확신이 공격자가 관리자 권한을 가진 로컬 시스템에 대한 액세스를 얻은 경우, 그는 어떤 작업을 수행 할 수 있습니다. 질문은 "그이있다변명"패치 가드에 거의 적용, 보호 메커니즘이 설계 되었기 때문에 특별히 높은 권한을 가진 프로세스에서 커널을 보호하기 위해, 이러한 드라이버 나 바이러스 백신 소프트웨어로.

또한 읽기: 유명한 infostealer "에이전트 테슬라는"특이한 점 적기가 있습니다

또한 패치 가드에 문제가 버그 현상금 프로그램에 해당하지 않는 사실에 의해 복잡, 이러한 버그를 발견 전문가들은 현금 보상을 기대할 수 없다. 익명에게 남아달라고 마이크로 소프트 직원 ZDNet의 이 회사의 패치 가드 문제는 전혀 무시하지 않는 기자 것을, 그들에 대한 수정이 나올, 느린 다른 패치보다 조금이라도.

하나, 연구원, 그들은 돈을받을 수 없습니다 것을 알고, 그 CVE 식별자는 취약점을 할당 할 수 없습니다, 공공 영역에서 자신의 연구 결과를 게시하는 것을 선호하고 이러한 문제를 연구하기 위해 일반적으로 꺼려.

폴리나 리소프스카야

저는 몇 년 동안 마케팅 관리자로 일하고 있으며 흥미로운 주제를 찾는 것을 좋아합니다.

회신을 남겨주

맨 위로 돌아가기 버튼