WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện cách tấn công mới vượt qua Microsoft PatchGuard
Nhà nghiên cứu người Nhật Kento Oki đã phát hiện ra một lỗi trong PatchGuard có thể bị hacker lợi dụng để tải mã độc vào nhân hệ điều hành Windows.
PatchGuard, còn được gọi là Kernel Patch Protection, là một tiện ích bảo vệ phần mềm được thiết kế để không cho kernel của hệ điều hành Windows 64-bit được vá nhằm ngăn chặn sự lây nhiễm rootkit hoặc thực thi mã độc hại ở cấp độ kernel.
Tính năng này được giới thiệu lần đầu tiên vào năm 2005 với các phiên bản x64 của Windows XP và Windows Server 2003 Service Pack 1.
Kento đã công bố chi tiết kỹ thuật của cuộc tấn công trong một bài đăng kèm theo PoC.
Hiện, lỗ hổng vẫn chưa được Microsoft giải quyết.
“Kento không báo cáo lỗi này cho Microsoft vì trước đó công ty đã bỏ qua ba lỗi vượt qua PatchGuard khác và biết rằng hãng sẽ không gấp rút vá lỗi này”.
Vấn đề được coi là rất nguy hiểm vì tất cả các phiên bản Windows 64-bit đều hỗ trợ tính năng PatchGuard.
Việc vá kernel có thể cho phép kẻ tấn công chạy mã độc ở chế độ kernel, có nghĩa là mã độc có thể chạy với đặc quyền cao nhất mà không bị phát hiện bởi các giải pháp bảo mật thông thường.
Trong nhiều năm, các chuyên gia đã nghĩ ra nhiều cuộc tấn công để vượt qua PatchGuard, chẳng hạn như kỹ thuật nối GhostHook.
Microsoft luôn hạ thấp mức nghiêm trọng của các cuộc tấn công như phát hiện của Kento vì chúng yêu cầu kẻ tấn công có thể chạy mã với đặc quyền quản trị viên, nhưng hãng chỉ ra rằng với mức độ cho phép này, kẻ tấn công đã có thể chiếm quyền điều khiển bất kỳ hệ thống Windows nào.
Dù sao, Microsoft đã bỏ qua lỗi PatchGuard được các nhà nghiên cứu công bố trong vài năm qua, cho rằng vấn đề này không liên quan đến bảo mật.
Các chuyên gia thì cho rằng những kỹ thuật hack này có thể được sử dụng để đưa rootkit vào hệ thống Windows và vượt qua các biện pháp bảo mật.
PatchGuard, còn được gọi là Kernel Patch Protection, là một tiện ích bảo vệ phần mềm được thiết kế để không cho kernel của hệ điều hành Windows 64-bit được vá nhằm ngăn chặn sự lây nhiễm rootkit hoặc thực thi mã độc hại ở cấp độ kernel.
Tính năng này được giới thiệu lần đầu tiên vào năm 2005 với các phiên bản x64 của Windows XP và Windows Server 2003 Service Pack 1.
Kento đã công bố chi tiết kỹ thuật của cuộc tấn công trong một bài đăng kèm theo PoC.
Hiện, lỗ hổng vẫn chưa được Microsoft giải quyết.
“Kento không báo cáo lỗi này cho Microsoft vì trước đó công ty đã bỏ qua ba lỗi vượt qua PatchGuard khác và biết rằng hãng sẽ không gấp rút vá lỗi này”.
Vấn đề được coi là rất nguy hiểm vì tất cả các phiên bản Windows 64-bit đều hỗ trợ tính năng PatchGuard.
Việc vá kernel có thể cho phép kẻ tấn công chạy mã độc ở chế độ kernel, có nghĩa là mã độc có thể chạy với đặc quyền cao nhất mà không bị phát hiện bởi các giải pháp bảo mật thông thường.
Trong nhiều năm, các chuyên gia đã nghĩ ra nhiều cuộc tấn công để vượt qua PatchGuard, chẳng hạn như kỹ thuật nối GhostHook.
Microsoft luôn hạ thấp mức nghiêm trọng của các cuộc tấn công như phát hiện của Kento vì chúng yêu cầu kẻ tấn công có thể chạy mã với đặc quyền quản trị viên, nhưng hãng chỉ ra rằng với mức độ cho phép này, kẻ tấn công đã có thể chiếm quyền điều khiển bất kỳ hệ thống Windows nào.
Dù sao, Microsoft đã bỏ qua lỗi PatchGuard được các nhà nghiên cứu công bố trong vài năm qua, cho rằng vấn đề này không liên quan đến bảo mật.
Các chuyên gia thì cho rằng những kỹ thuật hack này có thể được sử dụng để đưa rootkit vào hệ thống Windows và vượt qua các biện pháp bảo mật.
Theo: Security Affairs