Спустя почти 4 года (Четыре, Карл!!!) после того, как Джеймс Форшоу, исследователь из команды Google Project Zero, опубликовал запись в блоге с подробным описанием нового эксплойта в механизме безопасности Windows Protected Process Light (PPL), Microsoft добавила меры по смягчению этой техники в сборках Windows 10 и Windows 11.
Неаффишированные патчи были обнаружены в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.
Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.
PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.
Наиболее распространенными пользователями PPL были производители антивирусного ПО.
И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.
В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.
В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.
Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.
Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.
Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.
Неаффишированные патчи были обнаружены в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.
Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.
PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.
Наиболее распространенными пользователями PPL были производители антивирусного ПО.
И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.
В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.
В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.
Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.
Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.
Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.