Turco especialista em segurança Can Bölük criou uma PoC exploit que ignora o Microsoft Kernel Patch Protection (KPP) recursos de segurança, melhor conhecida como PatchGuard.
Hé uma ferramenta é nomeado ByePg, eo preocupações explorar HalPrivateDispatchTable, que em última análise permite a aplicação malicioso para interferir com o kernel.o Microsoft Kernel patch protection (KPP) característica, melhor conhecida como PatchGuard, foi introduzido em 2005 no Windows XP. Ele está disponível apenas para as versões de 64 bits do Windows, e seu papel é o de impedir a interferência de aplicações com o kernel.
“Essencialmente, antes da libertação de PatchGuard, muitas aplicações permitiu-se a modificar o kernel do Windows para facilitar o seu trabalho ou ganho acesso a várias funções. O software antivírus, motoristas, fraudes do jogo e malware muitas vezes “remendado” o kernel para fins completamente diferentes”, – disseram especialistas em segurança.
Em particular, desenvolvedores de rootkits eram muito fond de tais técnicas, porque este lhes permitiu implementar malware no nível OS, dando-lhe acesso ilimitado a máquina da vítima.
Ao longo do tempo, PatchGuard desapareceu no fundo, contra o fundo de numerosos mecanismos de segurança do Windows, mas especialistas de segurança da informação continuou a usar essa funcionalidade e olhar para novas formas de protecção de bypass.
Assim sendo, Em 2015, após o lançamento do Windows 10, CyberArk especialistas apresentou um desvio PatchGuard chamada GhostHook. Ele usou o processador Intel Traço (PT) O recurso a PatchGuard bypass e corrigir o kernel. então, no verão deste ano, o especialista Riot Games encontrou outra maneira de contornar a proteção, que foi chamado InfinityHook e usou a API NtTraceEvent ao trabalho.
Agora foi criado ByePg com HalPrivateDispatchTable à proteção de bypass.
“O potencial de utilização ByePg é limitado apenas pela criatividade da pessoa que o usa. Pior, ByePG ajuda a contornar não só PatchGuard, mas também Hypervisor-protegido Código Integrity (HVCI), um recurso que a Microsoft usa para motoristas lista negra”, – observa o desenvolvedor do exploit.
Todos esses três métodos de contornar os recursos de segurança tornaram-se disponíveis publicamente, como a Microsoft não rash a patches de emissão e fechar essas lacunas (embora remendos para GhostHook e InfinityHook foram finalmente criada). O fato é que tais façanhas exigem direitos de administrador para o trabalho que é por isso que a empresa se recusa a classificá-los como problemas de segurança.
desenvolvedores da Microsoft estão confiantes de que se um atacante ganhou acesso ao sistema local com direitos de administrador, então ele pode executar qualquer operação. A questão é que esse “com licença”Não é aplicável a PatchGuard, porque o mecanismo de proteção foi projetado especificamente para proteger o kernel de processos com privilégios elevados, tais como drivers ou software antivírus.
Leia também: O famoso Infostealer “Agente Tesla” tem uma conta-gotas incomum
Ele também é complicada pelo fato de que os problemas no PatchGuard não caem no âmbito do programa de recompensas bug, e especialistas que acham tais erros não se pode esperar recompensa em dinheiro. Um funcionário da Microsoft que quis manter o anonimato disse ZDNet repórteres que os problemas PatchGuard da empresa não são ignorados em tudo, e correções para eles sair, embora um pouco mais lento do que outros patches.
Contudo, Os pesquisadores, sabendo que eles não vão receber dinheiro, e que os identificadores CVE não será atribuído vulnerabilidades, preferem publicar os resultados de suas pesquisas no domínio público e são geralmente relutantes em estudar tais problemas.
