GhostHook 攻击可绕过基于跟踪处理器的 Windows 10 PatchGuard

据外媒 6 月 22 日报道，CyberArk 安全研究人员发现可通过英特尔处理器 Processor Trace（Intel PT）新功能绕过基于跟踪处理器的 Windows 10 PatchGuard 破坏目标系统设备。

这种绕过方式被称为 GhostHook，能允许攻击者入侵受损设备并在内核中运行恶意代码，以致完全破坏目标系统。微软表示，虽然目前修复该漏洞极其困难，但他们会尽可能在未来版本的 Windows 中解决这个问题，CyberArk 也证实最快的修复途径或来自 PatchGuard 安全厂商的支持。

微软发表声明，指出他们鼓励客户在线应用计算机设备时保持良好的操作习惯，包括点击网页链接、打开未知文件或接受文件传输。Intel PT 于 PatchGuard 之后发布，它使安全供应商能够监视 CPU 中执行的命令堆栈，以便恶意软件入侵操作系统之前识别攻击活动。

网络研究高级总监 Kobi Ben Naim 表示：“ 我们可以在内核中执行代码，并且不会被微软产生的任何安全功能所忽视 ”。获悉，多数安全厂商依靠 PatchGuard 与 DeviceGuard 以获取可靠信息，并分析其是否遭恶意攻击。研究人员表示，该漏洞可绕过安全产品的检测（包括反恶意软件、防火墙、基于主机的入侵检测等）。

Naim 透露，该攻击活动主要由国家领域内知名的黑客组织展开。就像黑客组织 Flame 与 Shamoon 曾利用 64 位恶意软件在机器设备与网络上建立立足点那样，倘若该恶意代码被公开或被用于勒索攻击，那么将会导致严重后果。

CyberArk 认为，微软的弱点在于 Intel PT ，特别是当 Intel PT 与操作系统进行通话时。此外，Intel PT 是一个硬件级的调试跟踪接口，内核代码能够要求从 CPU 接收与读取信息。其微软实现 API 的方式是研究人员发现的问题所在，这使黑客不仅可以读取信息，还可以将代码植入内核中的安全位置。因此，攻击者在安全应用层进行交互时可以运行任意代码，而不会被安全软件侦测。目前，CyberArk 虽然并未发现此类攻击活动，但相信部分国家已在利用该漏洞展开攻击。

原作者：Michael Mimoso， 译者：青楚

from hackernews.cc.thanks for it.