per Zero-Day
| – 22 novembre 2019 — 16:15 GMT (16:15 GMT)
| Argomento: Sicurezza
Un ricercatore di sicurezza ha pubblicato proof-of-concept codice ultimo mese per un exploit in grado di ignorare la Microsoft Kernel Patch Protection (KPP) funzione di sicurezza, più comunemente conosciuto come PatchGuard.
Nome ByePg, questa è la seconda Patchguard bypass scoperto e reso noto al pubblico negli ultimi sei mesi, dopo InfinityHook, che è stato divulgato nel mese di luglio di quest’anno.
Che cosa è Microsoft PatchGuard
Microsoft PatchGuard è una caratteristica di sicurezza che è stato introdotto nel 2005 in Windows XP. È disponibile solo per le versioni a 64 bit di Microsoft Windows, e il suo ruolo è quello di evitare che le app dall’applicazione di patch al kernel.
L’applicazione di patch al kernel è un termine tecnico che si riferisce alla modifica del sistema operativo componente più importante (che trasmette i comandi da applicazioni per l’hardware sottostante) con il codice non autorizzato.
Prima di PatchGuard rilascio, molte applicazioni ha preso delle libertà con la modifica di Windows’ kernel in modo che possano fare il loro lavoro più facile o potrebbe accedere a funzioni sensibili. Il software Antivirus, ombreggiato driver, gioco trucchi e malware, spesso utilizzato patch al kernel per i loro scopi molto diversi.
Rootkit gli sviluppatori sono stati tra i più grandi fan di patch al kernel, utilizzando la tecnica come un modo per incorporare il loro malware a livello di sistema operativo, dando libero accesso a tutti i computer dell’utente.
Inizialmente, PatchGuard non era il clamoroso successo che Microsoft aveva sperato, e diversi bypass sono stati scoperti nel tardo 2010, che Microsoft finalmente la patch.
PatchGuard non uccidere rootkit ma, rootkit ha fatto alla fine muoiono fuori, soprattutto dopo il lancio di Windows 10, che presenti caratteristiche di sicurezza aggiuntive, a fianco di PatchGuard.
PatchGuard ignora
Tuttavia, anche se PatchGuard preso un sedile posteriore in Windows crescenti livelli di funzioni di sicurezza, i ricercatori di sicurezza hanno continuato a prod presso il suo meccanismo interno, alla ricerca di nuovi modi per bypassare le protezioni che fornisce.
Dopo il rilascio di Windows 10 nel 2015, il più importante di tutti PatchGuard bypass è stato GhostHook, scoperto da CyberArk ricercatori nel 2017. GhostHook abusato il Processore Intel Traccia (PT) funzione di bypass PatchGuard e patch per il kernel.
Un secondo di bypass è stato scoperto e divulgato per tutta l’estate, nel mese di luglio. Trovato da Nick Peterson, anti-cheat esperto di Riot Games, il bypass è stato nominato InfinityHook e abusato il NtTraceEvent API patch per il kernel.
Descrivere il bypass al momento, Peterson ha detto “InfinityHook sta per essere uno dei migliori strumenti del rootkit arsenal negli ultimi dieci anni.”
Il mese scorso, un terzo di PatchGuard bypass è stato divulgato; questa volta turco sviluppatore di software in Grado Bölük. Nome ByePg, questo exploit dirotta il HalPrivateDispatchTable per consentire un ladro applicazione di patch al kernel.
Proprio come Peterson, quando descrive ByePg, Bölük utilizzato ha detto che il “weaponization potenziale di [ByePg] è limitato solo dalla vostra creatività.”
ByePG è considerato ancora più pericoloso, in quanto può ignorare sia PatchGuard Hypervisor e Protetto da Codice di Integrità (HVCI), una funzionalità che consente a Microsoft di mettere in blacklist i driver male sui dispositivi degli utenti.
Tutti e tre — CyberArk, Peterson, e Bölük — è andato pubblico con le loro rispettive PatchGuard ignora dopo che Microsoft ha rifiutato il risolvere i problemi.
Polemiche
Risposta Microsoft in tutti e tre i casi è stato lo stesso. Tutti e tre gli exploit necessari i diritti di amministratore per eseguire, nel senso che non potevano essere classificati come problemi di sicurezza.
Il sistema operativo maker ha sostenuto che una volta che un utente malintenzionato ha accesso a un sistema locale con diritti di amministratore, si può effettuare qualsiasi operazione che vogliono. Tecnicamente, sono di destra, ma anche sbagliato. Mentre questa spiegazione potrebbe essere vero per qualsiasi altro vettore di attacco, non è valido per PatchGuard, un sistema per salvaguardare il kernel anche ad alta processi privilegiati, come un driver o applicazioni antivirus. Questo stato di PatchGuard unico scopo, i ricercatori hanno sostenuto.
Hanno anche detto che è banale al giorno d’oggi per un utente malintenzionato di elevare i privilegi e quindi di eseguire qualcosa di simile InfinityHook o il nuovo ByePg di creare un avamposto permanente nel kernel stesso, e aprire la porta per il ritorno di rootkit su Windows 10, un luogo dove in realtà non sono riuscito a infettare sugli stessi numeri come si faceva con le vecchie versioni di Windows, come XP, Vista e 7.
Quando questo giornalista ha raggiunto Microsoft nel 2017, il sistema operativo maker dicevano di non ignorare il problema, ma erano semplicemente non sono la priorità come di una falla di sicurezza.
A Microsoft, le falle di sicurezza e risolti subito e le patch vengono consegnati attraverso il processo mensile Patch Tuesday. Bug, invece, sono patchati semestrale ciclo.
Per il suo credito, ha fatto Microsoft patch GhostHook da qualche parte in ritardo 2017, ma nessuno sapeva è accaduto per settimane. Una patch per InfinityHook è stato anche spedito in Windows Insider costruisce nel mese di settembre, ed è più probabile incluso con Windows 10 v1909, rilasciato all’inizio di questo mese.
Si ottiene un CVE! E il _you_ ottenere un CVE! E *si* ottenere un CVE! Oh, mi dispiace @nickeverdox non CVE per voi. #UnfinityHook pic.twitter.com/egdUesU23B
— Alex Ionescu (@aionescu) 5 settembre 2019
ByePG rimane senza patch, e Bölük, proprio come altri ricercatori di sicurezza prima di lui, è ora la sensazione che il suo lavoro di ricerca è di essere beffati.
Il ricercatore ha detto ZDNet in una conversazione privata che ha capito di Microsoft bug bounty program regole, e che egli non sarebbe ammissibile per una sovvenzione. Tuttavia, egli ritiene che Microsoft è sminuire la gravità di questi exploit e ritardare la patch inutilmente, aprendo le porte a possibili attacchi.
Le regole non si cambia
Dalla nostra interazione con Microsoft staff di pubbliche relazioni, sapevamo che non sarebbe ottenere una risposta diretta alle nostre domande, così abbiamo raggiunto un dipendente Microsoft che lavora in questa azienda bug del programma e a condizione di anonimato per le sue dichiarazioni.
Il dipendente ha descritto la PatchGuard bypass problema come un espediente tecnico della società le regole del programma, ma che non sta andando ottenere un’eccezione da Microsoft con lo staff.
Mentre la regola che “amministratore-di-kernel non è un limite di sicurezza” afferma chiaramente che sfrutta eseguito con privilegi amministrativi non contano per l’azienda bug del programma di ricompense, si capisce anche che questo è un grosso problema con PatchGuard, soprattutto.
Tuttavia, la nostra fonte ha voluto essere molto chiaro che questi problemi non vengono ignorati, e bypassando PatchGuard o qualsiasi altre funzioni di sicurezza, fa alzare un sopracciglio a Microsoft.
I tre PatchGuard ignora potrebbe non avere ottenuto un “bug di sicurezza” classificazione, ma erano fissate alla fine, solo a un ritmo più lento, e da un’altra squadra.
Il dipendente Microsoft ci dice che questa classificazione, come un bug, piuttosto che una falla di sicurezza è quello che di solito infastidisce il 99% dei ricercatori che denunciare queste cose.
Egli dice che la maggior parte dei ricercatori di sicurezza a capire che Microsoft bug bounty program ha regole e non essere ammissibili per i premi in denaro, ma la maggior parte sono infastidito dal fatto che il loro lavoro, che in molti casi sono voluti mesi — non qualsiasi ottenere un riconoscimento pubblico da parte di Microsoft, a tutti.
Inoltre, i bug che trovate anche non ricevere un numero CVE-un codice di identificazione per un valido vulnerabilità, che molti ricercatori raccogliere ed esibire come trofei.
Questo è il motivo per cui, ha detto, molti ricercatori pubblici i dettagli del loro lavoro, completo di proof-of-concept di codice, che può essere molto facilmente un’arma. La nostra fonte ci dice che non è colpa ricercatori per farlo, né i suoi colleghi, come a volte questo è il solo modo per mostrare loro il reverse engineering e bug-a caccia di talenti in assenza di un cenno da parte di Microsoft.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| – 22 novembre 2019 — 16:15 GMT (16:15 GMT)
| Argomento: Sicurezza