Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Опубликован PoC-код для уязвимости обхода функции Microsoft PatchGuard

31/05/21

micro hack-3Японский исследователь в области кибербезопасности Кенто Оки обнаружил уязвимость в защитной функции Microsoft Kernel Patch Protection (также известной как PatchGuard) в Windows. Ее эксплуатация позволяет злоумышленникам загружать вредоносный код в ядро ​​операционной системы Windows. Эксперт подробно описал в своем блоге уязвимость обхода функции PatchGuard, а также опубликовал на GitHub PoC-код для эксплуатации уязвимости.
 

«Уязвимость можно использовать для проведения атак. Вредоносная программа попытается зарегистрировать функцию процедуры обратного вызова, которая отображается в виртуальном адресе ядра с неподписанным кодом, что обычно невозможно достичь легитимными способами. В сценарии вредоносное ПО должно уже иметь повышенные привилегии, но это не означает, что обход бесполезен», — добавил Кенто.

За последние несколько лет эксперты обнаружили несколько способов обхода PatchGuard и изменений ядра с помощью неавторизованного кода. Такие методы, как GhostHook, InfinityHook и ByePg, были выявлены в 2017 и 2019 годах, и все они позволяют злоумышленникам взломать PatchGuard и подключиться к ядру через легитимную функцию, а затем изменить его внутреннюю структуру.

Однако, несмотря на аргументы специалистов, Microsoft все еще не считает обходы PatchGuard уязвимостями. Эксперты техногиганта называют их скорее банальными ошибками кода. Хотя Microsoft в конечном итоге исправила три обхода PatchGuard через несколько месяцев после публикации отчетов, даже спустя годы классификация обходов PatchGuard как не связанных с безопасностью имеет последствия. Например, исследователи перестали сообщать о подобных проблемах в рамках программы вознаграждения за обнаружение уязвимостей Microsoft.

Темы:MicrosoftУгрозыPoC-эксплоиты
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...