O especialista criou uma PoC exploit que ignora a proteção PatchGuard

Turco especialista em segurança Can Bölük criou uma PoC exploit que ignora o Microsoft Kernel Patch Protection (KPP) recursos de segurança, melhor conhecida como PatchGuard.

Hé uma ferramenta é nomeado ByePg, eo preocupações explorar HalPrivateDispatchTable, que em última análise permite a aplicação malicioso para interferir com o kernel.

o Microsoft Kernel patch protection (KPP) característica, melhor conhecida como PatchGuard, foi introduzido em 2005 no Windows XP. Ele está disponível apenas para as versões de 64 bits do Windows, e seu papel é o de impedir a interferência de aplicações com o kernel.

“Essencialmente, antes da libertação de PatchGuard, muitas aplicações permitiu-se a modificar o kernel do Windows para facilitar o seu trabalho ou ganho acesso a várias funções. O software antivírus, motoristas, fraudes do jogo e malware muitas vezes “remendado” o kernel para fins completamente diferentes”, – disseram especialistas em segurança.

Em particular, desenvolvedores de rootkits eram muito fond de tais técnicas, porque este lhes permitiu implementar malware no nível OS, dando-lhe acesso ilimitado a máquina da vítima.

Ao longo do tempo, PatchGuard desapareceu no fundo, contra o fundo de numerosos mecanismos de segurança do Windows, mas especialistas de segurança da informação continuou a usar essa funcionalidade e olhar para novas formas de protecção de bypass.

Assim sendo, Em 2015, após o lançamento do Windows 10, CyberArk especialistas apresentou um desvio PatchGuard chamada GhostHook. Ele usou o processador Intel Traço (PT) O recurso a PatchGuard bypass e corrigir o kernel. então, no verão deste ano, o especialista Riot Games encontrou outra maneira de contornar a proteção, que foi chamado InfinityHook e usou a API NtTraceEvent ao trabalho.

LER  RIG explorar operadores de recrutamento começou a distribuir o codificador ERIS através da rede

Agora foi criado ByePg com HalPrivateDispatchTable à proteção de bypass.

“O potencial de utilização ByePg é limitado apenas pela criatividade da pessoa que o usa. Pior, ByePG ajuda a contornar não só PatchGuard, mas também Hypervisor-protegido Código Integrity (HVCI), um recurso que a Microsoft usa para motoristas lista negra”, – observa o desenvolvedor do exploit.

Todos esses três métodos de contornar os recursos de segurança tornaram-se disponíveis publicamente, como a Microsoft não rash a patches de emissão e fechar essas lacunas (embora remendos para GhostHook e InfinityHook foram finalmente criada). O fato é que tais façanhas exigem direitos de administrador para o trabalho que é por isso que a empresa se recusa a classificá-los como problemas de segurança.

desenvolvedores da Microsoft estão confiantes de que se um atacante ganhou acesso ao sistema local com direitos de administrador, então ele pode executar qualquer operação. A questão é que esse “com licença”Não é aplicável a PatchGuard, porque o mecanismo de proteção foi projetado especificamente para proteger o kernel de processos com privilégios elevados, tais como drivers ou software antivírus.

Leia também: O famoso Infostealer “Agente Tesla” tem uma conta-gotas incomum

Ele também é complicada pelo fato de que os problemas no PatchGuard não caem no âmbito do programa de recompensas bug, e especialistas que acham tais erros não se pode esperar recompensa em dinheiro. Um funcionário da Microsoft que quis manter o anonimato disse ZDNet repórteres que os problemas PatchGuard da empresa não são ignorados em tudo, e correções para eles sair, embora um pouco mais lento do que outros patches.

Contudo, Os pesquisadores, sabendo que eles não vão receber dinheiro, e que os identificadores CVE não será atribuído vulnerabilidades, preferem publicar os resultados de suas pesquisas no domínio público e são geralmente relutantes em estudar tais problemas.

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta