Windows 10 PatchGuard: Attacco hacker GhostHook
Una nuova tecnica di attacco individuata dagli esperti di sicurezza consente agli hacker di ignorare le protezioni del kernel di Windows 10 PatchGuard e di installare i rootkit su un sistema precedentemente ritenuto impenetrabile
Dubbed GhostHook, la nuova tecnica รจ l’attacco “post-exploitation” e richiede agli hacker di avere il controllo su un sistema compromesso a livello di sicurezza . Tuttavia, adesso GhostHook funziona anche su Windows 10.
Windows PatchGuard รจ una funzionalitร di sicurezza per i sistemi a 64 bit che impedisce agli hacker di eseguire la patch del kernel di Windows con codici di terze parti. ร stato introdotto nel 2005 con XP e da allora ha impedito alla maggior parte dei rootkit di lavorare efficacemente sui sistemi Windows a 64 bit.
Secondo i ricercatori di CyberArk, l’attacco funziona solo sui sistemi che eseguono Intel Processor Trace (PT), una caratteristica delle CPU Intel progettate per fornire supporto nelle operazioni di debug e la ricerca di codice dannoso.
Windows 10: Microsoft non riconosce la patch GhostHook
CyberArk ha detto cheย GhostHook ha raggiunto Microsoft, ma il gigante tecnologico ha risposto dicendo che poichรฉ la tecnica implicava agli attuali hacker solo su sistemi giร compromessi, non lo tratterebbe come un difetto di sicurezza.
“Questa tecnica richiede che un utente malintenzionato abbia giร compromesso completamente il sistema mirato e incoraggiamo i nostri clienti a fare on-line buone abitudini di navigazione, tra cui l’esercizio di fare cautela non cliccando sui collegamenti alle pagine web, all’apertura di file sconosciuti o l’accettazione di download pericolosi” Ha detto Threatpost.
CyberArk la vulnerabilitร di windows deve ancora essere affrontata.
Mentre CyberArk riconosceva che questo potrebbe essere un caso difficile da risolvere, sarebbe difficile per Microsoft rilasciare una correzione, visto che la vulnerabilitร deve ancora essere affrontata.
“Abbiamo ottenuto una risposta da parte di Microsoft dicendo che solo perchรฉ sei giร un amministratore della macchina, รจ giร un sistema compromesso, ma in questo caso รจ la risposta sbagliata”, ha dichiarato il direttore senior della ricerca informatica Kobi Ben Naim di CyberArk:
“Tutti questi nuovi livelli di protezione non sono stati progettati per combattere gli amministratori o il codice che esegue con diritti di amministratore. Questa รจ una risposta data perchรฉ non si sa risolvere la problematica [da Microsoft]”.
GhostHook essenzialmente annulla le caratteristiche di sicurezza di Microsoft e di altri fornitori di terze parti, e consentirebbero agli hacker di condurre attacchi potenzialmente rilevati.
“Siamo in grado di eseguire il codice nel kernel e passare inosservati da una qualsiasi funzionalitร di protezione che Microsoft ha detto Naim.” Molti altri fornitori di sicurezza si affidano a PatchGuard e DeviceGuard per ricevere informazioni attendibili e analizzare se รจ benigno o un attacco.
Questo bypass ci permette di passare inosservati nei confronti dei fornitori di sicurezza che abbiamo appena indicato (inclusi antimalware, firewall, rilevazione di intrusioni basate su host e altro) che si basano su quei livelli di protezione per fornire informazioni affidabili “.
Condividi Articolo:
