darask
New member
Программист Джан Бёлюк (Can Bölük) PoC-код для уязвимости, использование которой даёт возможность миновать функцию безопасности Microsoft Kernel Patch Protection (KPP), более известную как PatchGuard. Этот способ эксплуатации уязвимости назвали ByePg.
Функция PatchGuard — это функция в 64-разрядных версиях системы Windows, поддерживающая защиту от несанкционированной модификации ядра операционной системы вредоносным кодом.
С выходом Windows 10 в 2015 году наиболее популярным из существующих способов обмана PatchGuard был GhostHook, найденный сотрудниками CyberArk в около двух лет назад. Он мог функционировать только на устройствах с процессорами Intel, применяющими функцию Processor Trace, это давало возможность встроить вредоносный код в ядро операционной системы и установить руткит на ней. Следующий по популярности способ был найден летом 2019 года и получил название InfinityHook. Способ работал на основе применения API NtTraceEvent для изменения ядра.
Новый найденный способ обхода ByePg даёт возможность взломать HalPrivateDispatchTable, что позволяет вредоносной программе модифицировать ядро. ByePG оказался ещё опаснее, так как способен обмануть не только PatchGuard, но и функцию Hypervisor-Protected Code Integrity (HVCI), с помощью которой Microsoft добавляет в «черный» список «плохие драйверы» на компьютерах пользователей.
Позиция компании Microsoft со всеми 3 уязвимостями была одна и та же. Так как все перечисленные эксплойта требуют правах администратора для эксплуатации, то их нельзя отнести к проблемам безопасности. По мнению компании, как только атакующий получит доступ к системе с правами администратора, он итак сможет сделать любое действие на этой системе.
На данный момент неясно, будет ли Microsoft делать патч для устранения этой уязвимости.
Функция PatchGuard — это функция в 64-разрядных версиях системы Windows, поддерживающая защиту от несанкционированной модификации ядра операционной системы вредоносным кодом.
С выходом Windows 10 в 2015 году наиболее популярным из существующих способов обмана PatchGuard был GhostHook, найденный сотрудниками CyberArk в около двух лет назад. Он мог функционировать только на устройствах с процессорами Intel, применяющими функцию Processor Trace, это давало возможность встроить вредоносный код в ядро операционной системы и установить руткит на ней. Следующий по популярности способ был найден летом 2019 года и получил название InfinityHook. Способ работал на основе применения API NtTraceEvent для изменения ядра.
Новый найденный способ обхода ByePg даёт возможность взломать HalPrivateDispatchTable, что позволяет вредоносной программе модифицировать ядро. ByePG оказался ещё опаснее, так как способен обмануть не только PatchGuard, но и функцию Hypervisor-Protected Code Integrity (HVCI), с помощью которой Microsoft добавляет в «черный» список «плохие драйверы» на компьютерах пользователей.
Позиция компании Microsoft со всеми 3 уязвимостями была одна и та же. Так как все перечисленные эксплойта требуют правах администратора для эксплуатации, то их нельзя отнести к проблемам безопасности. По мнению компании, как только атакующий получит доступ к системе с правами администратора, он итак сможет сделать любое действие на этой системе.
На данный момент неясно, будет ли Microsoft делать патч для устранения этой уязвимости.