GhostHook Attack Bypasses Windows 10 PatchGuard | Threatpost

Un contournement de la protection du noyau PatchGuard dans Windows 10 a été développé qui apporte des rootkits pour la dernière version de l'OS à la portée des attaquants.

Depuis l'introduction de PatchGuard et DeviceGuard, très peu de rootkits Windows 64 bits ont été observés; La sécurité de Windows 10, en particulier ses atténuations contre les attaques basées sur la mémoire, est bien considérée. Cependant, les chercheurs de CyberArk ont ​​trouvé un chemin autour de PatchGuard grâce à une fonctionnalité relativement nouvelle dans les processeurs Intel appelés Processor Trace (Intel PT).

Le contournement, qui a été surnommé GhostHook, est une attaque post-exploitation et exige qu'un attaquant soit déjà présent sur une machine compromise et code en cours dans le noyau. Par conséquent, Microsoft a déclaré qu'il ne corrigerait pas le problème, mais pourrait l'aborder dans une future version de Windows, a déclaré CyberArk. Une demande de commentaires de Microsoft n'a pas été retournée à temps pour publication.

"Cette technique exige qu'un attaquant ait déjà compromis pleinement le système ciblé. Nous encourageons nos clients à pratiquer de bonnes habitudes informatiques en ligne, y compris en prenant soin de cliquer sur les liens vers des pages Web, en ouvrant des fichiers inconnus ou en acceptant les transferts de fichiers ", a déclaré un représentant de Microsoft dans une déclaration fournie à Threatpost.

CyberArk admet que ce pourrait être une solution difficile pour Microsoft, et a déclaré que le chemin le plus rapide pour un correctif peut provenir de fournisseurs de sécurité dont les produits s'accrochent à PatchGuard. Intel PT, qui a été publié quelques mois après PatchGuard, permet la sécurité …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils