Обнаружен метод обхода защиты Windows PatchGuard

Атака GhostHook позволяет установить руткит на системах под управлением 64-битных версий Windows.

Специалисты компании CyberArk обнаружили метод обхода Windows PatchGuard, предполагающий эксплуатацию одной из технологий, реализованных в процессорах Intel. Атака позволяет внедрить вредоносный код в ядро ОС и установить руткит на системе.

Описанная исследователями техника обхода работает только на системах с процессорами Intel, использующими функцию Processor Trace (технология для программной отладки с помощью трассировки выполнения команд). Как правило, вмешательство в операции Intel PT потребует изменения кода ядра, что немедленно обнаружит и заблокирует PatchGuard.

Как выяснили эксперты, выделение чрезвычайного маленького буфера для обработки пакетов Intel PT приведет к его переполнению и запуску процессором обработчика PMI. Проблема заключается в том, что PatchGuard не проверяет работу обработчика и злоумышленники могут воспользоваться им для внедрения вредоносного кода в ядро и установки руткита на 64-разрядных версиях Windows, в том числе Windows 10.

Специалисты проинформировали Microsoft о проблеме, однако производитель отказался выпускать обновление безопасности мотивировав это тем, что для осуществления атаки злоумышленнику потребуется изначально иметь доступ к ядру на инфицированной машине. Компания не исключила, что может добавить соответствующий патч в следующий пакет плановых обновлений, тем не менее, она не намерена рассматривать GhostHook как уязвимость.

PatchGuard, также известная как Kernel Patch Protection (KPP) – функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.

Руткит – набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), обеспечивающих маскировку объектов (процессов, файлов, директорий, драйверов); управление (событиями, происходящими в системе);сбор данных (параметров системы).