資安業者CyberArk Labs本周發表一新的新的GhostHook攻擊技術,宣稱可繞過微軟對64位元Windows作業系統的PatchGuard保護,並植入Rootkit程式,但微軟並不認為這是個安全漏洞,僅說以後若有機會再修補。
PatchGuard的正式名稱為Kernel Patch Protection,是微軟在2005年針對64位元Windows版本所開發的安全機制,目的是為了防止第三方程式修補或變更Windows核心,事實上,PatchGuard的確讓64位元的Windows作業系統更加安全,據估計,所有的Windows惡意程式中,可開採64位元的比例佔不到1%。
根據CyberArk的描述,GhostHook主要是利用了英特爾處理器所內建的Intel Processor Trace(PT)功能來繞過PatchGuard的保護。
PT可藉由硬體擷取正在執行的軟體資訊,以便偵測惡意程式並協助除錯,而GhostHook則在PT封包的處理程序中配置了非常少的緩衝區域,導致處理器的緩衝不足而必須開啟PMI管理程序(PMI handler)來管理過載的程式。有鑑於PatchGuard無法監控PMI管理程序,而讓GhostHook可藉由此一PMI變更Windows核心。
CyberArk表示,如此一來,GhostHook即能在64位元的Windows上植入各種Rookit,包括Windows 10在內。
不過,如同CyberArk所描述的,GhostHook屬於後攻擊(post-exploitation)場景,主要用於駭客已入侵系統之後,於Windows核心中植入Rookit只是為了建立既有惡意程式的永久存在能力。
微軟的看法也是如此。微軟表示,經過工程團隊的分析後,GhostHook主要應用在駭客已經可於系統上執行核心程式之後,並不符合微軟的安全更新門檻,也許會在未來的Windows版本中修正。
熱門新聞
2024-11-25
2024-11-29
2024-11-15
2024-11-15
2024-11-28
2024-11-25