Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Опубликован PoC-код для уязвимости обхода функции Microsoft PatchGuard

31/05/21

micro hack-3Японский исследователь в области кибербезопасности Кенто Оки обнаружил уязвимость в защитной функции Microsoft Kernel Patch Protection (также известной как PatchGuard) в Windows. Ее эксплуатация позволяет злоумышленникам загружать вредоносный код в ядро ​​операционной системы Windows. Эксперт подробно описал в своем блоге уязвимость обхода функции PatchGuard, а также опубликовал на GitHub PoC-код для эксплуатации уязвимости.
 

«Уязвимость можно использовать для проведения атак. Вредоносная программа попытается зарегистрировать функцию процедуры обратного вызова, которая отображается в виртуальном адресе ядра с неподписанным кодом, что обычно невозможно достичь легитимными способами. В сценарии вредоносное ПО должно уже иметь повышенные привилегии, но это не означает, что обход бесполезен», — добавил Кенто.

За последние несколько лет эксперты обнаружили несколько способов обхода PatchGuard и изменений ядра с помощью неавторизованного кода. Такие методы, как GhostHook, InfinityHook и ByePg, были выявлены в 2017 и 2019 годах, и все они позволяют злоумышленникам взломать PatchGuard и подключиться к ядру через легитимную функцию, а затем изменить его внутреннюю структуру.

Однако, несмотря на аргументы специалистов, Microsoft все еще не считает обходы PatchGuard уязвимостями. Эксперты техногиганта называют их скорее банальными ошибками кода. Хотя Microsoft в конечном итоге исправила три обхода PatchGuard через несколько месяцев после публикации отчетов, даже спустя годы классификация обходов PatchGuard как не связанных с безопасностью имеет последствия. Например, исследователи перестали сообщать о подобных проблемах в рамках программы вознаграждения за обнаружение уязвимостей Microsoft.

Темы:MicrosoftУгрозыPoC-эксплоиты
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...