Den sakkyndige opprettet en PoC utnytte som omgår Patchguard beskyttelse

Tyrkisk sikkerhet spesialist Can Bölük har skapt en PoC utnytte som omgår Microsoft Kernel Patch Protection (KPP) sikkerhetsegenskaper, bedre kjent som Patchguard.

Her verktøy heter ByePg, og utnytte bekymringer HalPrivateDispatchTable, som til slutt gjør at ondsinnet program for å forstyrre kjernen.

De Microsoft Kernel Patch Protection (KPP) trekk, bedre kjent som Patchguard, ble innført tilbake i 2005 i Windows XP. Det er kun tilgjengelig for 64-biters versjoner av Windows, og dens rolle er å hindre forstyrrelser av programmer med kjernen.

“Essencially, før frigjøringen av Patchguard, mange programmer lot seg endre Windows-kjernen for å lette deres arbeid eller få tilgang til ulike funksjoner. Antivirus programvare, drivere, spillet bedrager og malware ofte “lappet” kjernen for helt andre formål”, – nevnte sikkerhetseksperter.

Spesielt, rootkit utviklere var veldig glad i slike teknikker, fordi dette tillot dem å gjennomføre malware på OS-nivå, gi det ubegrenset tilgang til offerets maskin.

Over tid, Patchguard kom i bakgrunnen, på bakgrunn av en rekke sikkerhetsmekanismer Windows, men informasjon sikkerhetseksperter fortsatte å bruke denne funksjonaliteten og se etter nye måter å omgå beskyttelses.

Derfor, I 2015, etter utgivelsen av Windows 10, CyberArk spesialister innført en Patchguard omvei kalt GhostHook. Han brukte Intel-prosessor Trace (PT) funksjonen til bypass Patchguard og lappe kjernen. Deretter, i løpet av sommeren i år, Riot Games ekspert funnet en annen måte å omgå beskyttelses, som ble kalt InfinityHook og brukt NtTraceEvent API for å arbeide.

LESE  Østerrikske forskere skapt metode for sporing nettlesere med bruk av Javascript

Nå er laget ByePg med HalPrivateDispatchTable til bypass beskyttelse.

“Potensialet for bruk ByePg begrenses kun av kreativitet av den personen som bruker det. Verre, ByePG hjelper omgå ikke bare Patchguard, men også Hypervisor-Protected kode Integrity (HVCI), en funksjon som Microsoft bruker til å svarteliste drivere”, – bemerker utvikleren av utnytte.

Alle disse tre metodene for omgåelsen sikkerhetsfunksjoner har blitt offentlig tilgjengelig, som Microsoft ikke utslett å utstede patcher og nære disse hullene (selv om lapper for GhostHook og InfinityHook ble til slutt opprettet). Faktum er at slike utnyttelser krever administratorrettigheter til arbeidet som er grunnen til at selskapet nekter å klassifisere dem som sikkerhetsproblemer.

Microsofts utviklere er overbevist om at hvis en angriper fått tilgang til det lokale systemet med administratorrettigheter, så han kan utføre operasjoner. Spørsmålet er at denne “unnskyldning”Er neppe aktuelt for Patchguard, fordi den beskyttende mekanisme er designet spesielt for å beskytte kjernen fra prosesser med høye privilegier, slik som drivere eller antivirusprogramvare.

Les også: Den berømte infostealer “Agent Tesla” har en uvanlig dropper

Det er også komplisert av det faktum at problemer i Patchguard ikke faller under bug skuddpremie programmet, og spesialister som finner slike feil kan ikke forvente kontant belønning. En Microsoft-ansatt som ønsket å være anonym fortalte ZDNet reportere at selskapets Patchguard problemene ikke blir oversett i det hele tatt, og feilrettinger for dem å komme ut, riktignok litt langsommere enn andre oppdateringer.

derimot, forskerne, vel vitende om at de ikke får penger, og at CVE identifikatorer vil ikke bli tildelt sårbarheter, trekker å offentliggjøre resultatene av sin forskning i den offentlige sfæren og er generelt tilbakeholdne med å studere slike problemer.

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar