研究人員發現新攻擊技術,能繞過64位Windows的系統保護
美國安全專家CyberArk Labs本周發表一新的新的GhostHook攻擊技術,宣稱可繞過微軟對64位Windows操作系統的PatchGuard保護,並植入Rootkit程序,但微軟並不認為這是個安全漏洞,僅說以後若有機會再修補。
PatchGuard的正式名稱為Kernel Patch Protection,是微軟在2005年針對64位Windows版本所開發的安全機制,目的是為了防止第三方程序修補或變更Windows核心,事實上,PatchGuard的確讓64位的Windows操作系統更加安全,據估計,所有的Windows惡意程序中,可開採64位的比例占不到1%。
根據CyberArk的描述,GhostHook主要是利用了英特爾處理器所內置的Intel Processor Trace(PT)功能來繞過PatchGuard的保護。
PT可藉由硬體擷取正在執行的軟體信息,以便偵測惡意程序並協助除錯,而GhostHook則在PT封包的處理程序中配置了非常少的緩衝區域,導致處理器的緩衝不足而必須開啟PMI管理程序(PMI handler)來管理過載的程序。有鑒於PatchGuard無法監控PMI管理程序,而讓GhostHook可藉由此一PMI變更Windows核心。
CyberArk表示,如此一來,GhostHook即能在64位的Windows上植入各種Rookit,包括Windows 10在內。
不過,如同CyberArk所描述的,GhostHook屬於後攻擊(post-exploitation)場景,主要用於黑客已入侵系統之後,於Windows核心中植入Rookit只是為了建立既有惡意程序的永久存在能力。
微軟的看法也是如此。微軟表示,經過工程團隊的分析後,GhostHook主要應用在黑客已經可於系統上執行核心程序之後,並不符合微軟的安全更新門坎,也許會在未來的Windows版本中修正。
?
※木馬病毒偽裝太成功騙過Google,下載次數超過5萬次!
※像是手機屏幕挖了一個洞!安卓之父旗艦機實機體驗
※未推出就胎死腹中?Google傳取消其中一款Pixel新機!
※堅守喬布斯精神?庫克:蘋果從未失去創新基因!
※2017上半年安卓旗艦手機拍照能力實測對比,猜猜哪一家最強?
TAG:科技大魔頭 |
※Thomas Willis講座:機制研究發現卒中治療新靶點
※研究人員發現SpectrePrime和MeltdownPrime新變種
※Cell Reports:科學家發現肌肉的能量開關!
※Diabetes:新研究發現調節leptin表達的lncRNA
※Android系統中發現了一種新的竊聽病毒-RedDrop
※別等到Kim Jones離開Louis Vuitton了才發現他有多藝術
※Akamai成功發現並防禦Memcached新型勒索攻擊
※RegenHU聯合Wako Automation在美國推動藥物發現和生物3D列印
※Nature Neuro:研究人員發現了導致大腦發育缺陷的關鍵基因!
※Napoleone Ferrara博士談VEGF抗體治療眼底疾病機制的發現
※Cell Rep:科學家們發現免疫系統的新型調節因子
※Windows Defender現在可以發現國外政府的間諜軟體
※開發者破解 iOSbeta 發現即將發售 HomePod 秘密新功能
※開發者破解 iOS beta 發現即將發售 HomePod 秘密新功能
※Biological Psychiatry:中國科學家發現常用食品防腐劑竟然可以幫助治療精神分裂症!
※WPScan-WordPress漏洞發現
※國外玩家試玩Nintendo Labo發現新大陸 還有夜視功能
※如何在 Linux/Unix/Windows 中發現隱藏的進程和埠
※研究發現Facebook儲存歐盟40%人口的個人身份數據
※Mol Cell:科學家們發現對細胞功能有關鍵影響的酶