به گزارش روابطعمومی شرکت پیامپرداز، نقاط ضعف شناسایی شده در PatchGuard مایکروسافت که از kernel محافظت میکند، این امکان را برای هکرها فراهم میکند تا Rootkitهایشان را بر روی هر کامپیوتری که آخرین نسخهی ویندوز ۱۰ شرکت مایکروسافت را دارد، قرار دهند. محققان در آزمایشگاه CyberArk شیوهای جدید برای حمله را کشف کردند که هکرها را قادر میسازد به طور کامل PatchGuard را اصطلاحا bypass کنند و کد kernel مخرب یا rootkitشان را در سطح kernel جا گذاری کنند. PatchGuard در واقع ابزاری نرمافزاری است هدف آن جلوگیری از نصب وصله بر روی kernel نسخههای ۶۴بیتی سیستمعاملهای ویندوز است تا با این روش از اجرا کردن rootkitها یا کدهای مخرب در سطح kernel جلوگیری شود.
اولین شیوهی حمله که توسط محققان CyberArk نامگذاری شده، GhostHook است که به طور کامل میتواند فناوری دفاعی را مسکوت کرده تا PatchGuard را دور بزند. لازم به ذکر است که جهت انجام این حمله لازم است هکر پشت سیستمِ هدف حاضر باشد و کد را در kernel اجرا کند. بنابراین GhostHook بنا بر اظهارات این تیم محقق نه روشی جهت نفوذ و نه روشی جهت بالابردن سطح دسترسی است. در واقع یک نوع حملهی پس از نفوذ است.
حملهی GhostHook با سواستفاده از نقطه ضعف مایکروسافت در پیادهسازی قابلیت تقریبا جدید پردازشگرهای اینتل به نام Intel PT استفاده میکند. حمله دقیقا در زمانی شروع میشود که Intel PT با سیستمعامل شروع به تعامل میکند. ماهها پس از عرضهی PatchGuard قابلیت Intel PT شرکتهای امنیتی را قادر میساخت تا دستوراتی را که در CPU پردازش میشوند را بررسی و ردیابی کنند تا به این وسیله از هر گونه اقدامی جهت نفوذ به سیستم و یا اجرای بدافزارها و کدها را پیش از رسیدن به سیستمعامل جلوگیری شود. با سواستفاده از پیام Buffer-is-going-full هکرها کنترل اجرای تردها (threads) را به دست میگیرند.
قابل توجه است که تا کنون، مایکروسافت GhostHook را حملهی مهمی ارزیابی نکرده و به محققان شرکت CyberArk اعلام کرده است که هیچ فوریتی برای وصله کردن این نقطه ضعف نمیبیند اما ممکن است در نسخههای بعدی ویندوز آن را برطرف کند. سخنگوی مایکروسافت اظهار داشت که با توجه به ضرورت حضور هکر در پشت سیستم جهت انجام این حمله، ضرورتی در برطرف کردن فوری این نقطه ضعف وجود ندارد. در ادامه این شرکت بیان کرد که به مشتریان خود پیشنهاد میکند رفتارهای سالم را در فضای آنلاین تمرین کنند و برای مثال با دقت و توجه بسیار بر روی لینکهایی که در وبسایتها قرار دارند کلیک کنند، فایلهای ناشناس را باز کنند و یا انتقال فایلها را بپذیرند.
محققان CyberArk مایوسی خود را از پاسخ شرکت مایکروسافت ابراز و بیان کردند که این شرکت باید در نظر داشته باشد که PatchGuard بخشی از kernel است که تحت هیچ شرایطی نباید bypass شود.
مبنع: HackerNews