GhostHook Attack peut contourner PatchGuard de Windows 10

Une attaque nouvellement découverte visant PatchGuard de Windows 10 peut contourner la protection et accrocher un code noyau malveillant (rootkit) au niveau du noyau, les chercheurs de sécurité de CyberArk Labs ont averti.

Aussi connu sous le nom de Protection de Patch Kernel, PatchGuard a été conçu pour empêcher l'exécution de rootkits ou d'autres codes malveillants au niveau du noyau sur les versions 64 bits de Windows. Baptisé GhostHook la méthode d'attaque nouvellement découverte peut contourner complètement la protection, tant que l'attaquant a déjà réussi à s'imposer sur le système vulnérable.

"La technique GhostHook que nous avons découverte peut fournir aux acteurs malveillants ou aux produits de sécurité de l'information la possibilité d'accrocher presque n'importe quel code sur la machine", explique Kasif Dekel de CyberArk.

L'attaque, cependant, n'est pas une technique d'élévation ou d'exploitation, et est destinée uniquement à des scénarios post-exploitation, lorsque l'attaquant a déjà le contrôle de l'actif, indique le chercheur. L'attaque, cependant, peut fournir des rootkits avec une persévérance furtive sur les systèmes compromis.

Les faiblesses de la mise en œuvre de Microsoft Processor Trace (Intel PT), spécifiquement au niveau où Intel PT communique à Windows, rendent l'attaque possible, selon Dekel.

Intel PT "fournit un faible matériel aérien qui exécute le suivi sur chaque thread matériel à l'aide de matériel dédié" et peut être utilisé à des fins légitimes diverses, y compris la surveillance du rendement, la couverture du code de diagnostic, le débogage, le fuzzing et plus encore . Cependant, il …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils