研究人員發現新攻擊技術，能繞過64位Windows的系統保護

美國安全專家CyberArk Labs本周發表一新的新的GhostHook攻擊技術，宣稱可繞過微軟對64位Windows操作系統的PatchGuard保護，並植入Rootkit程序，但微軟並不認為這是個安全漏洞，僅說以後若有機會再修補。

PatchGuard的正式名稱為Kernel Patch Protection，是微軟在2005年針對64位Windows版本所開發的安全機制，目的是為了防止第三方程序修補或變更Windows核心，事實上，PatchGuard的確讓64位的Windows操作系統更加安全，據估計，所有的Windows惡意程序中，可開採64位的比例占不到1%。

根據CyberArk的描述，GhostHook主要是利用了英特爾處理器所內置的Intel Processor Trace（PT）功能來繞過PatchGuard的保護。

PT可藉由硬體擷取正在執行的軟體信息，以便偵測惡意程序並協助除錯，而GhostHook則在PT封包的處理程序中配置了非常少的緩衝區域，導致處理器的緩衝不足而必須開啟PMI管理程序（PMI handler）來管理過載的程序。有鑒於PatchGuard無法監控PMI管理程序，而讓GhostHook可藉由此一PMI變更Windows核心。

CyberArk表示，如此一來，GhostHook即能在64位的Windows上植入各種Rookit，包括Windows 10在內。

不過，如同CyberArk所描述的，GhostHook屬於後攻擊（post-exploitation）場景，主要用於黑客已入侵系統之後，於Windows核心中植入Rookit只是為了建立既有惡意程序的永久存在能力。

微軟的看法也是如此。微軟表示，經過工程團隊的分析後，GhostHook主要應用在黑客已經可於系統上執行核心程序之後，並不符合微軟的安全更新門坎，也許會在未來的Windows版本中修正。

?

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！