för Zero Day
| 22 November 2019 — 16:15 GMT (16:15 GMT)
| Ämne: Säkerhet
En säkerhetsforskare publicerad proof-of-concept kod förra månaden för en exploatering som kan kringgå Microsoft Kernel Patch Protection (KPP) – säkerhet-funktionen, mer känd som PatchGuard.
Heter ByePg, detta är den andra Patchguard kringgå upptäckt och offentliggöras under de senaste sex månaderna, efter InfinityHook, som avslöjades i juli detta år.
Vad är Microsoft PatchGuard
Microsoft PatchGuard är en säkerhetsfunktion som infördes 2005 i Windows XP. Det är endast tillgängliga för 64-bitars versioner av Microsoft Windows, och dess uppgift är att hindra program från att patcha kärnan.
Patcha kärnan är en teknisk term som avser att ändra det operativsystem som är mest viktig komponent (som reläer kommandon från appar till den underliggande hårdvaran) med otillåten kod.
Innan PatchGuard släpptes, många program som tog sig friheter med att ändra Windows-kärnan så de kunde göra sitt jobb lättare eller skulle kunna få tillgång till känsliga uppgifter. Antivirusprogram, skumma förare, spel fusk, och skadlig kod, skulle ofta används kärnan lapp för många olika ändamål.
Rootkit utvecklare var bland de största fans av kärnan lapp, med hjälp av teknik som ett sätt att visa sin skadliga program på OS-nivå, vilket ger den fritt tillträde till alla av användarens dator.
Inledningsvis PatchGuard var inte den succé som Microsoft hade hoppats på, och flera kringgår upptäcktes i slutet av 2010-talet, som alla Microsoft så småningom lagas.
PatchGuard inte döda rootkits på egen hand, men de gjorde så småningom dö ut, särskilt efter lanseringen av Windows-10, som innehöll ytterligare säkerhetsfunktioner, tillsammans med PatchGuard.
PatchGuard förbi
Men även om PatchGuard tog baksätet i Windows’ ständigt ökande lager av säkerhet, trygghet forskare har fortsatt att prod vid sina inre mekanism, letar efter nya sätt att kringgå det skydd den ger.
Efter Windows-10 utgiven i 2015, den mest kända av alla PatchGuard bypass var GhostHook, upptäcktes av CyberArk forskare 2017. GhostHook missbrukas Intel-Processor Trace (PT) – funktionen för att kringgå PatchGuard och patcha kärnan.
En andra bypass upptäcktes och lämnas över sommaren, i juli. Hittade av Nick Peterson, anti-cheat expert på Riot Games, detta bypass hette InfinityHook, och missbrukat NtTraceEvent API för att patcha kärnan.
Beskriver bypass vid den tiden, sade Peterson “InfinityHook står för att vara en av de bästa verktygen i rootkit arsenal under det senaste decenniet.”
Förra månaden, en tredje PatchGuard bypass var att lämnas ut, denna gång av turkiska programutvecklare Kan Bölük. Heter ByePg, detta utnyttjar kapar den HalPrivateDispatchTable för att möjliggöra en skurk app lapp kärnan.
Precis som Peterson, när man beskriver ByePg, Bölük används sade att “weaponization potential [ByePg] begränsas endast av din kreativitet.”
ByePG anses vara ännu farligare, som det kan gå förbi både PatchGuard och Hypervisor-Skyddad Kod Integritet (HVCI), en funktion som gör det möjligt för Microsoft att svartlista dåliga drivrutiner på användarnas enheter.
Alla tre-CyberArk, Peterson, och Bölük — gick ut offentligt med sina respektive PatchGuard förbi efter att Microsoft vägrade åtgärda problem.
Kontroverser
Microsofts svar i alla tre fallen var det samma. Alla tre bedrifter som behövs administratörsbehörighet för att köra, vilket innebär att de inte kunde klassificeras som säkerhetsfrågor.
OS tekokare menade att när en angripare har tillgång till ett lokalt system med admin rättigheter, kan de utföra någon verksamhet som de vill ha. Tekniskt, de är rätt, men också fel. Medan denna förklaring kan vara sant för alla andra angrepp, det är inte giltigt för PatchGuard, ett system som syftar till att skydda kärnan även från hög-privilegierade processer-som en förare eller antivirus program. Detta var PatchGuard enda syfte, forskare hävdat.
De sade också att det är trivialt numera för en angripare att höja privilegier och kör något som InfinityHook eller den nya ByePg att inrätta ett permanent fotfäste i själva kärnan, och öppna dörren för återlämnande av rootkits på Windows-10, en plats där de inte riktigt lyckats smitta på samma nummer som de gjorde med äldre Windows-versioner som XP, Vista och 7.
När detta reporter nått ut till Microsoft i 2017, OS tekokare sa att de var inte ignorera frågan, men de var bara att inte prioritera det som en säkerhetsbrist.
På Microsoft, säkerhetsbrister få fast direkt och patchar som levereras via den månatliga Patch-tisdag processen. Buggar, å andra sidan, är lappade på ett halvårs cykel.
För sin kredit, Microsoft gjorde patch GhostHook någonstans i slutet av 2017, men ingen visste att det som hände i veckor. En patch för InfinityHook var också levereras i Windows Insider bygger i September, och det är mest sannolikt ingår med Windows 10 v1909, som släpptes tidigare denna månad.
Du får en CVE! Och _you_ få en CVE! Och *du* få en CVE! Åh förlåt @nickeverdox ingen CVE för dig. #UnfinityHook pic.twitter.com/egdUesU23B
— Alex Ionescu (@aionescu) September 5, 2019
ByePG fortfarande ouppdaterad, och Bölük, precis som de andra säkerhetsåtgärder forskare före honom, nu är känslan att hans forskning är avvisat.
Forskaren berättade ZDNet i en privat konversation att han förstod att Microsofts bug bounty programmets regler, och att han inte skulle vara berättigade till en monetär vinst. Han känner dock att Microsoft är att tona ned allvaret i dessa bedrifter och fördröja fläckar i onödan, öppna dörren för möjliga attacker.
Reglerna kommer inte att ändra
Från vårt samspel med Microsofts pr-personal, vi visste att vi inte skulle få ett rakt svar på våra frågor, så vi nådde ut till en Microsoft-anställd som arbetar del av företagets fel program och ges anonymitet för sina uttalanden.
Den anställde som beskrivs PatchGuard kringgå frågan som en teknisk kryphål i bolagets program reglerna, men en som inte kommer att få ett undantag från Microsofts personal.
Medan den regel som “administratör-att-kärnan inte är en trygghet gränsen” klart medlemsstater som utnyttjar köras med administratörsbehörighet kan inte räkna för bolagets bugg rewards-programmet, han förstår också att detta är en stor fråga med PatchGuard, särskilt.
Men vår källa som ville vara mycket tydligt att dessa frågor inte får ignoreras, och förbi PatchGuard eller någon av företagets andra säkerhetsfunktioner inte höja ett ögonbryn på Microsoft.
De tre PatchGuard förbi kanske inte har fått en “säkerhet bugg” klassificering, men de blev så småningom fast, bara i en långsammare takt, och med ett annat team.
Den Microsoft-anställd berättar för oss att detta klassificeras som ett fel snarare än en säkerhetsbrist är vad som vanligtvis irriterar ca 99% av forskarna som rapporterar dessa saker.
Han säger att de flesta säkerhet forskarna att förstå att Microsofts bug bounty programmet har regler och de kommer inte att vara berättigade till belöningar kontanter, men de flesta är irriterad över att deras arbete — som i många fall tog månader-kommer inte någon få ett offentligt erkännande från Microsoft, alls.
Dessutom buggar hittar de kommer heller inte få ett CVE-nummer — en id-kod för ett giltigt sårbarhet, vilket många forskare att samla in och briljera som troféer.
Detta är anledningen till att, som han sade, många forskare att gå allmänheten med information om sitt arbete, komplett med proof-of-concept-kod, som kan vara mycket lätt weaponized. Vår källa säger till oss att han inte skylla på forskarna för att de gör så, inte heller hans kollegor, som detta är ibland det enda sättet att visa sitt reverse engineering och bugg-jakt talanger i avsaknad av en nick från Microsoft.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| 22 November 2019 — 16:15 GMT (16:15 GMT)
| Ämne: Säkerhet