for Nul-Dag
| November 22, 2019 — 16:15 GMT (16:15 GMT)
| Emne: Sikkerhed
En sikkerhedsekspert offentliggjort proof-of-concept kode, der i sidste måned for en udnyttelse, der kan omgå Microsoft Kernel Patch Protection (KPP) sikkerhedsfunktion, mere almindeligt kendt som PatchGuard.
Opkaldt ByePg, dette er den anden Patchguard bypass opdaget og offentliggjort i de seneste seks måneder, efter InfinityHook, som blev afsløret i juli dette år.
Hvad er Microsoft PatchGuard
Microsoft PatchGuard er en sikkerhedsfunktion, der blev indført i 2005 i Windows XP. Det er kun tilgængelig for 64-bit versioner af Microsoft Windows, og dets rolle er at forhindre, at apps fra patching af kernen.
Patching af kernen er et teknisk begreb, der refererer til at ændre operativsystem vigtigste komponent (som transmitterer kommandoer fra apps til den underliggende hardware) med uautoriseret kode.
Før PatchGuard udgivelse, mange applikationer tog friheder med at ændre Windows’ kernel, så de kunne gøre deres arbejde lettere, eller at de kunne få adgang til følsomme funktioner. Antivirus software, skyggefulde drivere, game cheat, og malware, vil der ofte bruges kerne patching for deres egen meget forskellige formål.
Rootkit-udviklere var blandt de største fans af kerne patching, ved hjælp af den teknik, som en måde at integrere deres malware på OS-niveau, hvilket giver uhindret adgang til alle brugerens computer.
I første omgang, PatchGuard var ikke den bragende succes, som Microsoft havde håbet på, og flere omfartsveje blev opdaget i slutningen af 2010’erne, som alle Microsoft i sidste ende lappet.
PatchGuard ikke dræbe rootkits på sin egen, men rootkits til sidst dø ud, især efter lanceringen af Windows-10, som bød på yderligere sikkerhedsfunktioner, sammen med PatchGuard.
PatchGuard omgår
Men selv hvis PatchGuard tog et bagsæde i Windows’ stadigt voksende lag af sikkerhed, kan sikkerhed forskere fortsat prod ved sine indre mekanisme, der er på udkig efter nye måder at omgå den beskyttelse det giver.
Efter Windows-10’s udgivelse i 2015, er den mest bemærkelsesværdige af alle PatchGuard bypass var GhostHook, der blev opdaget af CyberArk forskere i 2017. GhostHook misbrugt Intel Processor Trace (PT) – funktionen til at omgå PatchGuard og patch til kernen.
En anden bypass blev opdaget og offentliggjort i løbet af sommeren, i juli. Fundet af Nick Peterson, anti-cheat ekspert på Riot Games, denne bypass blev opkaldt InfinityHook, og misbrugte NtTraceEvent API patch til kernen.
Beskriver bypass på det tidspunkt, Peterson sagde, “InfinityHook står til at være et af de bedste værktøjer i rootkit arsenal i løbet af de sidste ti år.”
I sidste måned en tredjedel PatchGuard bypass blev afsløret; denne gang med tyrkisk softwareudvikler Kan Bölük. Opkaldt ByePg, denne udnyttelse kaprer HalPrivateDispatchTable at give en rogue app ‘ en patch til kernen.
Ligesom Peterson, når de skal beskrive ByePg, Bölük anvendes sagde, at “weaponization potentiale [ByePg] er kun begrænset af din kreativitet.”
ByePG betragtes som endnu mere farlige, da det kan omgå både PatchGuard og Hypervisor-Beskyttede Kode Integritet (HVCI), en funktion, der giver Microsoft til at blackliste dårlige bilister på brugernes enheder.
Alle tre — CyberArk, Peterson, og Bölük — gik til offentligheden med deres respektive PatchGuard omfartsveje efter Microsoft har afvist at løse problemerne.
Uenighed
Microsoft ‘ s svar i alle tre tilfælde var det samme. Alle tre udnytter brug for admin rettigheder for at køre, hvilket betyder, at de ikke kunne klassificeres som sikkerheds-spørgsmål.
OS kaffefaciliteter fremført, at når en hacker har adgang til et lokalt system med admin-rettigheder, at de kan udføre enhver operation, de ønsker. Teknisk set, er de rigtige, men også forkerte. Mens denne forklaring kunne være sandt for alle andre angreb, det er ikke gyldige for PatchGuard, et system beregnet til at beskytte kernen selv fra høje-priviligerede processer-som i en driver eller antivirus apps. Dette var PatchGuard eneste formål, forskere argumenterede for.
De sagde også, at det er trivielt i dag for en hacker at forøge rettigheder og derefter køre noget som InfinityHook eller den nye ByePg at etablere et permanent fodfæste i selve kernen, og åbne døren for returnering af rootkits på Windows-10, et sted hvor de har ikke rigtig formået at inficere på de samme tal, som de gjorde med ældre Windows-versioner som XP, Vista og 7.
Når denne reporter nået ud til at Microsoft i 2017, OS kaffefaciliteter sagde, at de var ikke til at ignorere problemet, men de var bare ikke prioriterer det som et sikkerhedshul.
Hos Microsoft, og sikkerhedshuller bliver rettet med det samme og patches leveres via den månedlige Patch tirsdag proces. Bugs, på den anden side, er lappet på en halvårlig cyklus.
Til sin kredit, Microsoft gjorde patch GhostHook et eller andet sted i slutningen af 2017, men ingen vidste det skete for uger. En patch til InfinityHook blev også sendt i Windows Insider bygger i September, og er mest sandsynligt, der følger med Windows 10 v1909, udgivet tidligere i denne måned.
Du får et CVE! Og _you_ få et CVE! Og, at *du* få et CVE! Åh undskyld @nickeverdox ingen CVE for dig. #UnfinityHook pic.twitter.com/egdUesU23B
— Alex Ionescu (@aionescu) September 5, 2019
ByePG forbliver uændrede, og Bölük, ligesom de andre sikkerheds-forskere før ham, er nu følte, at hans forskning er at blive afvist.
Forskeren fortalte ZDNet i en privat samtale, at han forstod, at Microsoft ‘s bug bounty program’ s regler, og at han ikke ville være berettiget til en monetær udbetaling. Men han mener, at Microsoft er nedtoner alvoren af disse exploits og forsinke patches unødigt, åbner døren for mulige terrorangreb.
Regler, der ikke vil være under forandring
Fra vores interaktioner med Microsoft ‘ s public relations team, vi vidste, vi ville ikke få et klart svar på vores spørgsmål, så vi nåede ud til en Microsoft-medarbejder, der arbejder en del af virksomhedens bug program, og forudsat anonymitet for hans udtalelser.
Medarbejderen beskrev PatchGuard omgå problemet som et teknisk smuthul i virksomhedens program regler, men en, der ikke kommer til at få en undtagelse fra Microsoft ‘ s personale.
Mens den regel, at “administrator-til-kerne er ikke en sikkerhed grænse” klart, der udnytter køre med administrative rettigheder tæller ikke for selskabets fejl belønninger program, han forstår også, at det er et kæmpe problem med PatchGuard, især.
Men vores kilde ønskede at være meget klart, at disse spørgsmål ikke bliver ignoreret, og uden PatchGuard eller nogen af selskabets andre sikkerhedselementer gør hæve et øjenbryn hos Microsoft.
De tre PatchGuard forbigår måske ikke har fået en “security bug” klassifikation, men de blev i sidste ende løst, blot i et langsommere tempo, og med et andet hold.
Den Microsoft-medarbejder fortæller os, at denne klassifikation er en fejl, snarere end et sikkerhedshul er, hvad der normalt irriterer omkring 99% af forskerne, som indberetter disse ting.
Han siger, at de fleste sikkerhedseksperter forstå, at Microsoft ‘ s bug bounty program har regler, og de vil ikke være berettiget til kontante belønninger, men de fleste er irriterede over, at deres arbejde-som i mange tilfælde tog måneder-det vil ikke få nogen offentlig anerkendelse fra Microsoft på alle.
Desuden, de fejl de finder, vil ikke modtage et CVE-nummer — en id-kode for en gyldig sårbarhed, som mange forskere indsamle og flagre som trofæer.
Dette er grunden til, at han sagde, at mange forskere gå til offentligheden med oplysninger om deres arbejde, komplet med proof-of-concept kode, der kan være meget let weaponized. Vores kilde fortæller os, at han ikke bebrejde forskere for at gøre det, heller ikke hans kolleger, som dette er undertiden den eneste måde at vise deres reverse engineering og bug-jagt talenter i mangel af et nik fra Microsoft.
Sikkerhed
Chrome, Edge, Safari hacket på elite Kinesisk hacking contest
Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora
Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 22, 2019 — 16:15 GMT (16:15 GMT)
| Emne: Sikkerhed