Разработчик программного обеспечения Джан Бёлюк (Can Bölük) опубликовал PoC-код для уязвимости, эксплуатация которой позволяет обойти функцию безопасности Microsoft Kernel Patch Protection (KPP), более известную как PatchGuard. Метод обхода получил название ByePg.
PatchGuard, также известная как Kernel Patch Protection (KPP) — функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.
После выпуска Windows 10 в 2015 году самым известным из всех методов обходов PatchGuard был GhostHook, обнаруженный исследователями CyberArk в 2017 году. Он работал только на системах с процессорами Intel, использующими функцию Processor Trace, позволяя внедрить вредоносный код в ядро ОС и установить руткит на системе. Второй метод обхода был обнаружен в июле нынешнего года и получил название InfinityHook. Метод был связан с использованием API NtTraceEvent для изменения ядра.
Недавно обнаруженный метод обхода ByePg позволяет взломать HalPrivateDispatchTable, чтобы позволить мошенническому приложению изменить ядро. ByePG считается еще более опасным, поскольку может обойти как PatchGuard, так и функцию Hypervisor-Protected Code Integrity (HVCI), позволяющую Microsoft помещать в «черный» список «плохие драйверы» на устройствах пользователей.
Ответ Microsoft во всех трех случаях был одинаковым. Поскольку все три эксплоита нуждаются в правах администратора для работы, то их нельзя классифицировать как проблемы безопасности. По словам компании, как только злоумышленник получит локальный доступ к системе с правами администратора, он сможет выполнить любую операцию, какую захочет.
Пока что неизвестно, планирует ли компания выпустить патч против данного метода обхода.
Источник: https://www.securitylab.ru/news/502832.php
Блог: https://blog.can.ac/2019/10/19/byepg-defeating-patchguard-using-exception-hooking/
PoC: https://github.com/can1357/ByePg
PatchGuard, также известная как Kernel Patch Protection (KPP) — функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.
После выпуска Windows 10 в 2015 году самым известным из всех методов обходов PatchGuard был GhostHook, обнаруженный исследователями CyberArk в 2017 году. Он работал только на системах с процессорами Intel, использующими функцию Processor Trace, позволяя внедрить вредоносный код в ядро ОС и установить руткит на системе. Второй метод обхода был обнаружен в июле нынешнего года и получил название InfinityHook. Метод был связан с использованием API NtTraceEvent для изменения ядра.
Недавно обнаруженный метод обхода ByePg позволяет взломать HalPrivateDispatchTable, чтобы позволить мошенническому приложению изменить ядро. ByePG считается еще более опасным, поскольку может обойти как PatchGuard, так и функцию Hypervisor-Protected Code Integrity (HVCI), позволяющую Microsoft помещать в «черный» список «плохие драйверы» на устройствах пользователей.
Ответ Microsoft во всех трех случаях был одинаковым. Поскольку все три эксплоита нуждаются в правах администратора для работы, то их нельзя классифицировать как проблемы безопасности. По словам компании, как только злоумышленник получит локальный доступ к системе с правами администратора, он сможет выполнить любую операцию, какую захочет.
Пока что неизвестно, планирует ли компания выпустить патч против данного метода обхода.
Источник: https://www.securitylab.ru/news/502832.php
Блог: https://blog.can.ac/2019/10/19/byepg-defeating-patchguard-using-exception-hooking/
PoC: https://github.com/can1357/ByePg
