voor Zero Day
| 22 November 2019 — 16:15 GMT (16:15 GMT)
| Onderwerp: Security
Een security-onderzoeker gepubliceerd proof-of-concept code in de laatste maand voor een exploit die kunt omzeilen van de Microsoft Kernel Patch Protection (KPP) beveiligingsvoorzieningen, beter bekend als PatchGuard.
De naam ByePg, dit is de tweede Patchguard bypass ontdekt en openbaar gemaakt in de afgelopen zes maanden, na InfinityHook, die werd bekendgemaakt in juli van dit jaar.
Wat is Microsoft PatchGuard
Microsoft PatchGuard is een beveiligingsfunctie die in 2005 is geïntroduceerd in Windows XP. Het is alleen beschikbaar voor 64-bits versies van Microsoft Windows, en haar rol is om te voorkomen dat apps van het patchen van de kernel.
Het patchen van de kernel is een technische term die verwijst naar het wijzigen van het besturingssysteem de meest belangrijke component (die relais commando ‘ s van de apps naar de onderliggende hardware) met ongeautoriseerde code.
Voordat PatchGuard release, vele toepassingen nam vrijheden met het wijzigen van Windows-kernel, zodat ze kunnen hun werk gemakkelijker te maken, of toegang zou hebben tot gevoelige functies. Antivirus software, schaduwrijke stuurprogramma ‘ s, game cheats, en malware, zou vaak gebruikt kernel patches voor hun eigen, zeer verschillende doeleinden.
Rootkit-ontwikkelaars waren tot de grootste fans van patching kernel, het gebruik van de techniek als een manier om het insluiten van hun malware op het niveau van het BESTURINGSSYSTEEM, waardoor het onbelemmerde toegang tot alle van de computer van de gebruiker.
In eerste instantie, PatchGuard was niet het succes dat Microsoft op had gehoopt, en een aantal bypasses werden ontdekt in de late 2010s, al dat Microsoft uiteindelijk hersteld.
PatchGuard niet doden rootkits op zijn eigen, maar rootkits heeft uiteindelijk sterven uit, vooral na de lancering van Windows 10, die aanbevolen extra beveiliging biedt, naast PatchGuard.
PatchGuard omzeilt
Echter, zelfs als PatchGuard nam een achterbank in Windows’ steeds grotere lagen van beveiliging functies, veiligheid onderzoekers hebben verder prod op het interne mechanisme, op zoek naar nieuwe manieren om het omzeilen van de bescherming die het biedt.
Nadat Windows 10 release in 2015, de meest opvallende van alle PatchGuard bypass was GhostHook, ontdekt door CyberArk onderzoekers in 2017. GhostHook misbruikt de Intel-Processor Trace (PT) functie te omzeilen PatchGuard en patchen van de kernel.
Een tweede bypass werd ontdekt en bekendgemaakt in de zomer, in juli. Gevonden door Nick Peterson, anti-cheat-expert bij Riot Games, deze bypass werd genoemd InfinityHook, en misbruikt de NtTraceEvent API patchen van de kernel.
Het beschrijven van de bypass bij de tijd, Peterson zei: “InfinityHook staat als een van de beste tools in de rootkit arsenal de afgelopen tien jaar.”
Vorige maand, een derde PatchGuard bypass werd bekendgemaakt; dit keer door een turkse software ontwikkelaar Kan Bölük. De naam ByePg, deze exploit kaapt de HalPrivateDispatchTable om een malafide app patchen van de kernel.
Net zoals Peterson, bij het beschrijven van ByePg, Bölük gebruikt gezegd dat het ‘ weaponization potentieel van [ByePg] wordt alleen beperkt door uw creativiteit.”
ByePG wordt beschouwd als nog gevaarlijker, als het kan bypass zowel PatchGuard en Hypervisor-Beschermd Code Integriteit (HVCI), een functie waarmee Microsoft op de blacklist slechte chauffeurs op de apparaten van gebruikers.
Alle drie — CyberArk, Peterson, en Bölük — ging het publiek met hun respectieve PatchGuard omzeilt na Microsoft weigerde het oplossen van de problemen.
Controverse
Microsoft ‘ s antwoord in alle drie de gevallen was het hetzelfde. Alle drie exploits nodig admin rechten te lopen, wat betekent dat ze niet kon worden aangemerkt als een veiligheidsrisico.
De OS maker betoogd dat als een aanvaller toegang heeft tot een lokale systeem met admin rechten, ze kunnen het uitvoeren van een operatie die ze willen. Technisch gezien hebben ze gelijk, maar ook verkeerd. Tijdens deze uitleg zou kunnen worden geldt ook voor alle andere aanval, het is niet geldig voor PatchGuard, een systeem bedoeld om te waarborgen dat de kernel ook van high-bevoorrechte processen-zoals een bestuurder of antivirus-apps. Dit was PatchGuard enige doel, onderzoekers voerden.
Ze zei ook dat het triviaal is tegenwoordig voor een aanvaller te verheffen voorrechten en voer vervolgens iets als InfinityHook of de nieuwe ByePg om een permanente positie in de kernel zelf, en de deur openen voor de terugkeer van rootkits op Windows-10, een plek waar ze nog niet echt weten te infecteren op dezelfde nummers zoals ze deden met oudere versies van Windows als XP, Vista en 7.
Wanneer deze verslaggever bereikt Microsoft in 2017, het OS maker zei dat ze niet negeren van het probleem, maar ze waren gewoon niet te prioriteren als een lek.
Microsoft security gebreken krijgen vaste meteen en patches worden geleverd via de maandelijkse Patch Tuesday proces. Bugs, aan de andere kant, worden hersteld op een tweejaarlijkse cyclus.
Voor de credit Microsoft heeft een patch GhostHook ergens eind 2017, maar niemand wist dat het gebeurde voor weken. Een patch voor InfinityHook werd ook geleverd in Windows Insider bouwt in September, en is waarschijnlijk meegeleverd met Windows 10 v1909, bracht eerder deze maand.
Je krijgt een CVE! En _you_ een CVE! En *u* een CVE! Oh sorry @nickeverdox geen CVE voor u. #UnfinityHook pic.twitter.com/egdUesU23B
— Alex Ionescu (@aionescu) 5 September 2019
ByePG blijft niet gecorrigeerde, en Bölük, net als de andere security-onderzoekers vóór hem, is nu het gevoel dat zijn onderzoek wordt versmaad.
De onderzoeker vertelde ZDNet in een privé-gesprek dat hij begreep Microsoft de bug bounty ‘ programma regels, en dat hij niet in aanmerking komt voor een monetaire uitbetaling. Wel vindt hij dat van Microsoft is onvoldoende onderkennen van de ernst van deze exploits en het uitstellen van patches onnodig, het openen van de deur voor mogelijke aanslagen.
De regels zullen niet veranderen
Van onze interacties met Microsoft ‘ s public relations, we wisten dat we niet zouden krijgen een duidelijk antwoord op onze vragen, zodat we bereikten een Microsoft medewerker die werkt in een deel van het bedrijf bug in het programma en op voorwaarde van anonimiteit voor zijn uitspraken.
De werknemer beschreven de PatchGuard bypass probleem als een technisch hiaat in het bedrijf de regels van het programma, maar die is niet van plan om een uitzondering van de Microsoft medewerkers.
Terwijl de regel dat “beheerder-to-kernel is niet een veiligheidsgrens’ stelt duidelijk dat exploits worden uitgevoerd met beheerdersrechten tellen niet mee voor het bedrijf bug in het rewards programma, hij begrijpt ook dat dit een groot probleem met PatchGuard, in het bijzonder.
Echter, onze bron wilde heel duidelijk dat deze kwesties niet genegeerd te worden, en het omzeilen van PatchGuard of een van de vennootschap andere beveiligingsfuncties rijzen doet een wenkbrauw op bij Microsoft.
De drie PatchGuard omzeilt u misschien niet hebben gekregen een “security bug” indeling, maar ze werden uiteindelijk opgelost, alleen in een langzamer tempo, en door een ander team.
De werknemer van Microsoft vertelt ons dat deze indeling als een bug in plaats van een lek is wat meestal ergert ongeveer 99% van de onderzoekers die het verslag van deze dingen.
Hij zegt dat de meeste security onderzoekers begrijpen dat Microsoft de bug bounty ‘ programma heeft regels zijn en zij zullen niet in aanmerking komen voor cash beloningen, maar de meeste zijn geïrriteerd dat hun werk-dat is in veel gevallen nam maanden — niet voor publieke erkenning van Microsoft, is op alle.
Bovendien, de bugs vinden ze ook niet ontvangen van een CVE-nummer — een identificatie-code voor een geldige kwetsbaarheid, die veel onderzoekers verzamelen en te pronken als trofeeën.
Dit is de reden waarom, zei hij, vele onderzoekers gaan het publiek met details over hun werk, compleet met bewijs-van-concept code, dat kan heel gemakkelijk worden weaponized. Onze bron vertelt ons dat hij niet de schuld van de onderzoekers om dit te doen, noch zijn collega ‘ s, als dit is soms de enige manier is om hun reverse engineering en bug-jacht op talenten in de afwezigheid van een knipoog van Microsoft.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 22 November 2019 — 16:15 GMT (16:15 GMT)
| Onderwerp: Security