Una nuova tecnica di attacco individuata dagli esperti di sicurezza consente agli hacker di ignorare le protezioni del kernel di Windows 10 PatchGuard e di installare i rootkit su un sistema precedentemente ritenuto impenetrabile
Dubbed GhostHook, la nuova tecnica è l’attacco “post-exploitation” e richiede agli hacker di avere il controllo su un sistema compromesso a livello di sicurezza . Tuttavia, adesso GhostHook funziona anche su Windows 10.
Windows PatchGuard è una funzionalità di sicurezza per i sistemi a 64 bit che impedisce agli hacker di eseguire la patch del kernel di Windows con codici di terze parti. È stato introdotto nel 2005 con XP e da allora ha impedito alla maggior parte dei rootkit di lavorare efficacemente sui sistemi Windows a 64 bit.
Secondo i ricercatori di CyberArk, l’attacco funziona solo sui sistemi che eseguono Intel Processor Trace (PT), una caratteristica delle CPU Intel progettate per fornire supporto nelle operazioni di debug e la ricerca di codice dannoso.
Windows 10: Microsoft non riconosce la patch GhostHook
CyberArk ha detto che GhostHook ha raggiunto Microsoft, ma il gigante tecnologico ha risposto dicendo che poiché la tecnica implicava agli attuali hacker solo su sistemi già compromessi, non lo tratterebbe come un difetto di sicurezza.
“Questa tecnica richiede che un utente malintenzionato abbia già compromesso completamente il sistema mirato e incoraggiamo i nostri clienti a fare on-line buone abitudini di navigazione, tra cui l’esercizio di fare cautela non cliccando sui collegamenti alle pagine web, all’apertura di file sconosciuti o l’accettazione di download pericolosi” Ha detto Threatpost.
CyberArk la vulnerabilità di windows deve ancora essere affrontata.
Mentre CyberArk riconosceva che questo potrebbe essere un caso difficile da risolvere, sarebbe difficile per Microsoft rilasciare una correzione, visto che la vulnerabilità deve ancora essere affrontata.
“Abbiamo ottenuto una risposta da parte di Microsoft dicendo che solo perché sei già un amministratore della macchina, è già un sistema compromesso, ma in questo caso è la risposta sbagliata”, ha dichiarato il direttore senior della ricerca informatica Kobi Ben Naim di CyberArk:
“Tutti questi nuovi livelli di protezione non sono stati progettati per combattere gli amministratori o il codice che esegue con diritti di amministratore. Questa è una risposta data perché non si sa risolvere la problematica [da Microsoft]”.
GhostHook essenzialmente annulla le caratteristiche di sicurezza di Microsoft e di altri fornitori di terze parti, e consentirebbero agli hacker di condurre attacchi potenzialmente rilevati.
“Siamo in grado di eseguire il codice nel kernel e passare inosservati da una qualsiasi funzionalità di protezione che Microsoft ha detto Naim.” Molti altri fornitori di sicurezza si affidano a PatchGuard e DeviceGuard per ricevere informazioni attendibili e analizzare se è benigno o un attacco.
Questo bypass ci permette di passare inosservati nei confronti dei fornitori di sicurezza che abbiamo appena indicato (inclusi antimalware, firewall, rilevazione di intrusioni basate su host e altro) che si basano su quei livelli di protezione per fornire informazioni affidabili “.