Призрачный крюк в WINDOWS 10
С момента появления в ОС от Microsoft механизмов защиты PatchGuard и DeviceGuard было обнаружено очень мало 64-битных руткитов для Windows. Однако исследователи из CyberArk нашли путь обхода защиты с помощью относительно новой функции в процессорах Intel под названием Processor Trace (Intel PT). Метод, получивший название GhostHook, — «пост-эксплуатационная атака»: для его использования злоумышленник должен закрепиться в скомпрометированной системе.
«Решение от Intel предоставляет API, с помощью которого код ядра может получать информацию от CPU. Проблема кроется в реализации этого процесса», — говорит Коби Бен Наим, руководитель исследовательского подразделения CyberArk. «Нам удалось не только получать информацию, но и вводить свой код в ядро». По данным исследователей, злоумышленник, работающий на этом слое, может запускать любой код, не боясь обнаружения: «мы можем выполнять код в ядре системы, не видя при этом никакой реакции со стороны защитных решений Microsoft», — говорит Наим. «Из-за того, что многие поставщики безопасности доверяют PatchGuard и DeviceGuard, эта уязвимость позволяет обходить их решения (это касается средств защиты от вредоносного ПО, брандмауэров, системы обнаружения вторжений и т.д.)».
Microsoft сообщила, что не будет выпускать обновление, решающее эту проблему, но не исключает, что она будет исправлена в будущих версиях Windows. «Для выполнения атаки требуется, чтобы целевая система уже была скомпрометирована. Мы рекомендуем нашим клиентам использовать базовые правила безопасности. В частности, проявлять осторожность при переходе по ссылкам и открытии файлов», — сказал представитель компании в ответ на запрос Threatpost. В CyberArk признают, что для Microsoft решить проблему может быть сложно и считают, что самый быстрый путь к закрытию уязвимости находится на стороне поставщиков решений безопасности, чьи продукты взаимодействуют с PatchGuard.
Наим предупреждает: если код эксплойта станет публичным, результаты могут быть катастрофическими. По его мнению, Microsoft допускает большую ошибку, игнорируя ситуацию: «мы получили ответ от Microsoft, в котором говорится, что если вы являетесь администратором устройства, то оно уже скомпрометировано. Но это плохой ответ. Все эти новые уровни безопасности созданы не для того, чтобы бороться с администраторами или кодом, выполняемым с правами администратора».
«Мы знаем о методе, который позволяет использовать функцию процессора Intel для обхода безопасности Windows, описанном исследователями CyberArk,. Поскольку проведение такой атаки требует, чтобы хакер уже запускал код в ядре, этот метод существенно не расширяет ее «поверхность», — прокомментировали ситуацию в «Лаборатории Касперского.