据外媒 6 月 22 日报道,CyberArk 安全研究人员发现可通过英特尔处理器 Processor Trace(Intel PT)新功能绕过基于跟踪处理器的 Windows 10 PatchGuard 破坏目标系统设备。
这种绕过方式被称为 GhostHook,能允许攻击者入侵受损设备并在内核中运行恶意代码,以致完全破坏目标系统。微软表示,虽然目前修复该漏洞极其困难,但他们会尽可能在未来版本的 Windows 中解决这个问题,CyberArk 也证实最快的修复途径或来自 PatchGuard 安全厂商的支持。
微软发表声明,指出他们鼓励客户在线应用计算机设备时保持良好的操作习惯,包括点击网页链接、打开未知文件或接受文件传输。Intel PT 于 PatchGuard 之后发布,它使安全供应商能够监视 CPU 中执行的命令堆栈,以便恶意软件入侵操作系统之前识别攻击活动。
网络研究高级总监 Kobi Ben Naim 表示:“ 我们可以在内核中执行代码,并且不会被微软产生的任何安全功能所忽视 ”。获悉,多数安全厂商依靠 PatchGuard 与 DeviceGuard 以获取可靠信息,并分析其是否遭恶意攻击。研究人员表示,该漏洞可绕过安全产品的检测(包括反恶意软件、防火墙、基于主机的入侵检测等)。
Naim 透露,该攻击活动主要由国家领域内知名的黑客组织展开。就像黑客组织 Flame 与 Shamoon 曾利用 64 位恶意软件在机器设备与网络上建立立足点那样,倘若该恶意代码被公开或被用于勒索攻击,那么将会导致严重后果。
CyberArk 认为,微软的弱点在于 Intel PT ,特别是当 Intel PT 与操作系统进行通话时。此外,Intel PT 是一个硬件级的调试跟踪接口,内核代码能够要求从 CPU 接收与读取信息。其微软实现 API 的方式是研究人员发现的问题所在,这使黑客不仅可以读取信息,还可以将代码植入内核中的安全位置。因此,攻击者在安全应用层进行交互时可以运行任意代码,而不会被安全软件侦测。目前,CyberArk 虽然并未发现此类攻击活动,但相信部分国家已在利用该漏洞展开攻击。
原作者:Michael Mimoso, 译者:青楚
from hackernews.cc.thanks for it.