به گزارش روابط‌عمومی شرکت پیام‌پرداز، نقاط ضعف شناسایی شده در PatchGuard مایکروسافت که از kernel محافظت می‌کند، این امکان را برای هکرها فراهم می‌کند تا Rootkitهای‌شان را بر روی هر کامپیوتری که آخرین نسخه‌ی ویندوز ۱۰ شرکت مایکروسافت را دارد، قرار دهند. محققان در آزمایشگاه CyberArk شیوه‌ا‌ی جدید برای حمله را کشف کردند که هکرها را قادر می‌سازد به طور کامل PatchGuard را اصطلاحا bypass کنند و کد kernel مخرب یا rootkitشان را در سطح kernel جا گذاری کنند.  PatchGuard در واقع ابزاری نرم‌افزاری است هدف آن جلوگیری از نصب وصله بر روی kernel نسخه‌های ۶۴بیتی سیستم‌عامل‌های ویندوز است تا با این روش از اجرا کردن rootkitها یا کدهای مخرب در سطح kernel جلوگیری شود.

اولین شیوه‌ی حمله که توسط محققان CyberArk نام‌گذاری شده، GhostHook است که به طور کامل می‌تواند فناوری دفاعی را مسکوت کرده تا PatchGuard را دور بزند. لازم به ذکر است که جهت انجام این حمله لازم است هکر پشت سیستمِ هدف حاضر باشد و کد را در kernel اجرا کند. بنابراین GhostHook بنا بر اظهارات این تیم محقق نه روشی جهت نفوذ و نه روشی جهت بالابردن سطح دست‌رسی است. در واقع یک نوع حمله‌ی پس از نفوذ است.

حمله‌ی GhostHook با سواستفاده از نقطه ضعف مایکروسافت در پیاده‌سازی قابلیت تقریبا جدید پردازش‌گرهای اینتل به نام Intel PT استفاده می‌کند. حمله دقیقا در زمانی شروع می‌شود که Intel PT با سیستم‌عامل شروع به تعامل می‌کند. ماه‌ها پس از عرضه‌ی  PatchGuard  قابلیت Intel PT شرکت‌های امنیتی را قادر می‌ساخت تا دستوراتی را که در CPU پردازش می‌شوند را بررسی و ردیابی کنند تا به این وسیله از هر گونه اقدامی جهت نفوذ به سیستم و یا اجرای بدافزارها و کدها را پیش از رسیدن به سیستم‌عامل جلوگیری شود. با سواستفاده از پیام Buffer-is-going-full هکرها کنترل اجرای تردها (threads) را به دست می‌گیرند.

قابل توجه است که تا کنون، مایکروسافت GhostHook را حمله‌ی مهمی ارزیابی نکرده و به محققان شرکت CyberArk اعلام کرده است که هیچ فوریتی برای وصله کردن این نقطه ضعف نمی‌بیند اما ممکن است در نسخه‌های بعدی ویندوز آن را برطرف کند. سخن‌گوی مایکروسافت اظهار داشت که با توجه به ضرورت حضور هکر در پشت سیستم جهت انجام این حمله، ضرورتی در برطرف کردن فوری این نقطه ضعف وجود ندارد. در ادامه این شرکت بیان کرد که به مشتریان خود پیشنهاد می‌کند رفتارهای سالم را در فضای آنلاین تمرین کنند و برای مثال با دقت و توجه بسیار بر روی لینک‌هایی که در وب‌سایت‌ها قرار دارند کلیک کنند، فایل‌های ناشناس را باز کنند و یا انتقال فایل‌ها را بپذیرند.

محققان CyberArk مایوسی خود را از پاسخ شرکت مایکروسافت ابراز و بیان کردند که این شرکت باید در نظر داشته باشد که PatchGuard بخشی از kernel است که تحت هیچ شرایطی نباید bypass شود.

مبنع: HackerNews