Turkse veiligheidstroepen specialist Can Bölük heeft een PoC gecreëerd exploit die omzeilt de Microsoft Kernel Patch Protection (KPP) beveiligingsfuncties, beter bekend als PatchGuard.
His hulpmiddel is genaamd ByePg, en de exploit zorgen HalPrivateDispatchTable, die uiteindelijk kan de kwaadaardige toepassing te bemoeien met de kernel.De Microsoft Kernel Patch Protection (KPP) voorzien zijn van, beter bekend als PatchGuard, werd geïntroduceerd terug in 2005 in Windows XP. Het is alleen beschikbaar voor 64-bits versies van Windows, en zijn rol om interferentie toepassingen te voorkomen met de kernel.
“Essencially, voorafgaand aan de vrijlating van PatchGuard, vele toepassingen lieten zich de Windows-kernel te passen aan hun werk of toegang te krijgen tot verschillende functies te vergemakkelijken. Antivirus software, drivers, spel cheats en malware vaak “patched” de kernel voor geheel andere doeleinden”, – zei security experts.
Met name, rootkit ontwikkelaars waren erg dol op dergelijke technieken, want dit konden ze de uitvoering van malware op het niveau van het besturingssysteem, waardoor het onbeperkte toegang tot de machine van het slachtoffer.
Overuren, PatchGuard op de achtergrond geraakt, tegen de achtergrond van een groot aantal Windows beveiligingsmechanismen, maar informatiebeveiliging experts bleef deze functionaliteit en zoeken naar nieuwe manieren om de bescherming bypass gebruiken.
daarom, In 2015, na de release van Windows 10, CyberArk specialisten introduceerde een PatchGuard omweg genaamd GhostHook. Hij gebruikte de Intel-processor Trace (PT) functie om bypass PatchGuard en patchen van de kernel. Dan, in de zomer van dit jaar, de Riot Games expert vond een andere manier om de bypass van de bescherming, die werd opgeroepen InfinityHook en gebruikte de NtTraceEvent API aan het werk.
Nu is gemaakt ByePg met HalPrivateDispatchTable op bescherming bypass.
“Het potentieel voor het gebruik van ByePg wordt alleen beperkt door de creativiteit van de persoon die het gebruikt. Erger, ByePG helpt omzeilen niet alleen PatchGuard, maar ook Hypervisor-Protected Code Integrity (HVCI), een functie die Microsoft gebruikt om blacklist drivers”, – neemt nota van de ontwikkelaar van de exploit.
Alle drie van deze methoden van het omzeilen van beveiligingsfuncties zijn openbaar geworden, Microsoft heeft geen uitslag tot einde patches en sluit deze lacunes (hoewel patches voor GhostHook en InfinityHook werden uiteindelijk gecreëerd). Het feit is dat dergelijke exploits beheerdersrechten nodig om het werk dat de reden waarom het bedrijf weigert om hen te classificeren als veiligheidsproblemen.
Microsoft-ontwikkelaars zijn ervan overtuigd dat als een aanvaller toegang gekregen tot het lokale systeem met beheerdersrechten, dan kan hij alle handelingen uit te voeren. De vraag is dat deze “excuus”Is nauwelijks van toepassing op PatchGuard, omdat de beschermende mechanisme is speciaal ontworpen om de kernel te beschermen tegen processen met een hoge privileges, zoals drivers of antivirussoftware.
Lees ook: De beroemde infostealer “Agent Tesla” heeft een ongebruikelijke druppelaar
Het wordt ook bemoeilijkt door het feit dat de problemen in PatchGuard niet onder de bug bounty-programma vallen, en specialisten die zulke bugs kan niet verwachten dat contante beloning. Een werknemer van Microsoft die wenste te blijven anoniem verteld ZDNet verslaggevers dat PatchGuard problemen van de onderneming niet worden genegeerd helemaal, en oplossingen voor hen naar buiten komen, zij het iets trager dan andere pleisters.
Echter, de onderzoekers, wetende dat ze geen geld zullen ontvangen, en dat CVE-id's zullen niet worden toegewezen kwetsbaarheden, de voorkeur aan de resultaten van hun onderzoek in het publieke domein te publiceren en zijn over het algemeen terughoudend om dergelijke problemen te bestuderen.
