Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Обнаружен новый метод обхода защиты Windows PatchGuard

25/11/19

patchyРазработчик программного обеспечения Джан Бёлюк (Can Bölük) опубликовал PoC-код для уязвимости, эксплуатация которой позволяет обойти функцию безопасности Microsoft Kernel Patch Protection (KPP), более известную как PatchGuard. Метод обхода получил название ByePg.

PatchGuard, также известная как Kernel Patch Protection (KPP) — функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.

После выпуска Windows 10 в 2015 году самым известным из всех методов обходов PatchGuard был GhostHook, обнаруженный исследователями CyberArk в 2017 году. Он работал только на системах с процессорами Intel, использующими функцию Processor Trace, позволяя внедрить вредоносный код в ядро ОС и установить руткит на системе. Второй метод обхода был обнаружен в июле нынешнего года и получил название InfinityHook. Метод был связан с использованием API NtTraceEvent для изменения ядра.

Недавно обнаруженный метод обхода ByePg позволяет взломать HalPrivateDispatchTable, чтобы позволить мошенническому приложению изменить ядро. ByePG считается еще более опасным, поскольку может обойти как PatchGuard, так и функцию Hypervisor-Protected Code Integrity (HVCI), позволяющую Microsoft помещать в «черный» список «плохие драйверы» на устройствах пользователей.

Ответ Microsoft во всех трех случаях был одинаковым. Поскольку все три эксплоита нуждаются в правах администратора для работы, то их нельзя классифицировать как проблемы безопасности. По словам компании, как только злоумышленник получит локальный доступ к системе с правами администратора, он сможет выполнить любую операцию, какую захочет.

Пока что неизвестно, планирует ли компания выпустить патч против данного метода обхода.

Темы:WindowsУгрозыWindows Patchguard
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...