安全專家稱已經(jīng)發(fā)現(xiàn)了一種可以繞過Windows PatchGuard保護，并將惡意程序鉤子植入至Windows內(nèi)核的方法。這也意味著攻擊者可以在曾被認為是堅不可摧的系統(tǒng)上安裝rootkit程序。
PatchGuard以內(nèi)核修改保護 (KPP)而被人們所熟知，也是微軟在Windows 64位版本的系統(tǒng)上做出的重要安全舉措，其可以有效的防止第三方代碼，使用其他例程來修補Windows內(nèi)核。
PatchGuard從2005年推出至今，從Windows XP開始已經(jīng)阻止了大多數(shù)在64位版本上運行的rootkit。
GhostHook攻擊利用了Intel PT功能
近日，來自CyberArk的安全研究人員發(fā)表了一項名為GhostHook的新技術研究成果。該技術利用了Intel CPU的功能，并最終成功繞過了PatchGuard。
據(jù)研究人員介紹，GhostHook僅針對運行英特爾®處理器（PT）的系統(tǒng)，英特爾®CPU有個功能就是使用專門的硬件，來捕獲有關當前軟件執(zhí)行的信息，以幫助調(diào)試操作和檢測惡意代碼。
通常，進入英特爾®PT操作，需要攻擊者將惡意功能代碼以打補丁的方式寫入到內(nèi)核級代碼，而這樣的操作顯然會被PatchGuard立即阻止和檢測到。
CyberArk的研究人員表示，他們發(fā)現(xiàn)通過為處理Intel PT數(shù)據(jù)包分配一個非常小的緩沖區(qū)，可以導致CPU緩沖區(qū)空間耗盡，并打開一個PMI處理程序來管理溢出的代碼。
而PatchGuard對PMI處理程序沒有進行監(jiān)視，因此攻擊者可以通過該PMI處理程序hook惡意代碼，并完成內(nèi)核修補操作。
這為攻擊者提供了一種很好的不可檢測的，可以修補Windows內(nèi)核并在Windows 64位版本上嵌入rootkit的方法。
GhostHook技術甚至還可以運用在Windows 10上，然而目前針對win 10有效的rootkit還不是很多。
微軟否認GhostHook攻擊威脅
CyberArk表示，他曾向微軟報告了關于GhostHook的攻擊細節(jié)。但微軟對此不以為然，并拒絕就此發(fā)布安全更新。微軟表示，他們可能會在常規(guī)bug修復周期中修復該發(fā)現(xiàn)，但不會將GhostHook視為安全漏洞。
微軟公司表示，攻擊者需要在受感染的機器上進行內(nèi)核級訪問，以執(zhí)行GhostHook攻擊。而具有內(nèi)核級權限的攻擊者，可能還會執(zhí)行許多其他的惡意操作。因此，用戶應將重點放在防止攻擊者獲得這一級別的訪問權限上。
CyberArk對此也做了回應，并重申了他的觀點。CyberArk說，這個問題的重點并不在于攻擊者的訪問級別上，重點在于攻擊者可以繞過PatchGuard，這也就意味著在64位的Windows版本上為rootkit開啟了一道“上帝之門”，也讓攻擊者在這些系統(tǒng)植入rootkit成為了可能。