События

Обнаружен метод обхода защиты Windows PatchGuard

Обнаружен метод обхода защиты Windows PatchGuard

Специалисты компании CyberArk обнаружили метод обхода Windows PatchGuard, предполагающий эксплуатацию одной из технологий, реализованных в процессорах Intel. Атака позволяет внедрить вредоносный код в ядро ОС и установить руткит на системе.

Описанная исследователями техника обхода работает только на системах с процессорами Intel, использующими функцию Processor Trace (технология для программной отладки с помощью трассировки выполнения команд). Как правило, вмешательство в операции Intel PT потребует изменения кода ядра, что немедленно обнаружит и заблокирует PatchGuard.

Как выяснили эксперты, выделение чрезвычайного маленького буфера для обработки пакетов Intel PT приведет к его переполнению и запуску процессором обработчика PMI. Проблема заключается в том, что PatchGuard не проверяет работу обработчика и злоумышленники могут воспользоваться им для внедрения вредоносного кода в ядро и установки руткита на 64-разрядных версиях Windows, в том числе Windows 10.

Специалисты проинформировали Microsoft о проблеме, однако производитель отказался выпускать обновление безопасности мотивировав это тем, что для осуществления атаки злоумышленнику потребуется изначально иметь доступ к ядру на инфицированной машине. Компания не исключила, что может добавить соответствующий патч в следующий пакет плановых обновлений, тем не менее, она не намерена рассматривать GhostHook как уязвимость.

PatchGuard, также известная как Kernel Patch Protection (KPP) - функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.

Руткит - набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), обеспечивающих маскировку объектов (процессов, файлов, директорий, драйверов); управление (событиями, происходящими в системе);сбор данных (параметров системы).

Источник

Автор: Сергей Куприянов
23.06.2017 (11:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.