安全專家稱已經發現了一種可以繞過Windows PatchGuard保護，并將惡意程序鉤子植入至Windows內核的方法。這也意味著攻擊者可以在曾被認為是堅不可摧的系統上安裝rootkit程序。
PatchGuard以內核修改保護 (KPP)而被人們所熟知，也是微軟在Windows 64位版本的系統上做出的重要安全舉措，其可以有效的防止第三方代碼，使用其他例程來修補Windows內核。
PatchGuard從2005年推出至今，從Windows XP開始已經阻止了大多數在64位版本上運行的rootkit。
GhostHook攻擊利用了Intel PT功能
近日，來自CyberArk的安全研究人員發表了一項名為GhostHook的新技術研究成果。該技術利用了Intel CPU的功能，并最終成功繞過了PatchGuard。
據研究人員介紹，GhostHook僅針對運行英特爾®處理器（PT）的系統，英特爾®CPU有個功能就是使用專門的硬件，來捕獲有關當前軟件執行的信息，以幫助調試操作和檢測惡意代碼。
通常，進入英特爾®PT操作，需要攻擊者將惡意功能代碼以打補丁的方式寫入到內核級代碼，而這樣的操作顯然會被PatchGuard立即阻止和檢測到。
CyberArk的研究人員表示，他們發現通過為處理Intel PT數據包分配一個非常小的緩沖區，可以導致CPU緩沖區空間耗盡，并打開一個PMI處理程序來管理溢出的代碼。
而PatchGuard對PMI處理程序沒有進行監視，因此攻擊者可以通過該PMI處理程序hook惡意代碼，并完成內核修補操作。
這為攻擊者提供了一種很好的不可檢測的，可以修補Windows內核并在Windows 64位版本上嵌入rootkit的方法。
GhostHook技術甚至還可以運用在Windows 10上，然而目前針對win 10有效的rootkit還不是很多。
微軟否認GhostHook攻擊威脅
CyberArk表示，他曾向微軟報告了關于GhostHook的攻擊細節。但微軟對此不以為然，并拒絕就此發布安全更新。微軟表示，他們可能會在常規bug修復周期中修復該發現，但不會將GhostHook視為安全漏洞。
微軟公司表示，攻擊者需要在受感染的機器上進行內核級訪問，以執行GhostHook攻擊。而具有內核級權限的攻擊者，可能還會執行許多其他的惡意操作。因此，用戶應將重點放在防止攻擊者獲得這一級別的訪問權限上。
CyberArk對此也做了回應，并重申了他的觀點。CyberArk說，這個問題的重點并不在于攻擊者的訪問級別上，重點在于攻擊者可以繞過PatchGuard，這也就意味著在64位的Windows版本上為rootkit開啟了一道“上帝之門”，也讓攻擊者在這些系統植入rootkit成為了可能。