Атака GhostHook способна обойти PatchGuard в Windows 10

Олег Иванов 26 Июня 2017 - 08:04

...

Атака GhostHook способна обойти PatchGuard в Windows 10

Недавно обнаруженная атака, нацеленная на PatchGuard в Windows 10, может обойти защиту и внедрить вредоносный код на уровне ядра (руткит), предупреждают исследователи безопасности CyberArk Labs.

PatchGuard, также известный как Kernel Patch Protection, был разработан для предотвращения запуска руткитов или другого вредоносного кода на уровне ядра в 64-разрядных версиях Windows. GhostHook, недавно обнаруженный метод атаки, может полностью обойти защиту, при условии, что злоумышленнику уже удалось попасть в уязвимую систему.

«Мы обнаружили, что метод GhostHook может позволить перехватить и внедрить почти любой фрагмент кода» - объясняет Касиф Декель (Kasif Dekel), эксперт CyberArk.

Исследователь также отмечает, что атака сработает только в случае, когда злоумышленник уже контролирует атакуемый компьютер. Однако такого рода атака может помочь хакеру очень прочно укрепиться в системе.

По словам эксперта, атаку делают возможной уязвимости во внедрении Microsoft Intel Processor Trace (Intel PT), особенно на уровне, где Intel PT сообщается с Windows.

«Intel PT выполняет трассировку на каждом аппаратном потоке с использованием специального оборудования и может использоваться для различных легитимных целей, включая мониторинг производительности, отладку, фаззинг и многое другое. Однако его также можно использовать для обхода PatchGuard».

Поскольку выделяется чрезвычайно маленький буфер для PT-пакетов ЦП, буферное пространство будет заполнено практически сразу, и процессор перейдет к обработчику PMI, который является кодом, управляемым злоумышленником и предназначенным для выполнения внедрения. Это предоставляет злоумышленнику контроль над тем, как ведет себя операционная система.

Эту атаку очень сложно обнаружить, так как для выполнения потока используется аппаратное обеспечение, говорит Декель.

Однако, по мнению Microsoft, проблема не является критичной, и патч для нее не будет выпущен в ближайшее время. Хотя исследователь отметил, что это «PatchGuard - это компонент ядра, который не должен обходиться».

«Наша исследовательская группа завершила анализ этого отчета и определила, что для этого метода злоумышленник уже использует код ядра в системе. Таким образом, это не исправится обновлением безопасности. Возможно, эта проблема будет исправлена в будущей версии Windows» - сообщил исследователю инженер-разработчик Microsoft.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 17:09

Общее Системы защиты от несанкционированного доступа Средства криптографической защиты информации Постквантовая криптография

На «РусКрипто’2026» обозначили, как будет меняться криптография в России

С 24 по 27 марта 2026 года в Подмосковье прошла 28-я международная научно-практическая конференция «РусКрипто’2026». Это одно из самых заметных отраслевых мероприятий в России, где встречаются разработчики, учёные, регуляторы и представители бизнеса, чтобы обсудить, куда движутся криптография и информационная безопасность.

В этом году основной акцент сделали на практических вопросах: цифровом суверенитете, доверенной цифровой среде, развитии национальных стандартов безопасности и том, как всё это применять не в теории, а в реальной инфраструктуре.

Программа получилась широкой. На конференции обсуждали криптоанализ, криптографическую защиту информации, безопасность государственных информационных систем и кредитно-финансовой сферы, вопросы электронной подписи, аппаратной безопасности, а также применение криптографии в медицине и другие актуальные темы ИБ.

В дискуссиях приняли участие представители Минцифры России, ФСБ России, Банка России, АНО «НТЦ ЦК», а также научных организаций и вузов, включая СПб ФИЦ РАН, НГУ, МИФИ и СПбПУ. Со стороны рынка в обсуждении участвовали компании, работающие в области криптографии, ИБ и финансовых технологий.

Одной из ключевых тем стало доверие в цифровой среде. Директор департамента развития технологий цифровой идентификации Минцифры России Татьяна Скворцова отметила, что сегодня особенно важно искать баланс между развитием цифровых идентификаторов, защитой персональных данных и удобством для граждан и бизнеса. По её словам, без национальных стандартов безопасности и без взаимодействия государства, науки и индустрии говорить о цифровом суверенитете невозможно.

О схожих приоритетах говорили и представители финансового сектора. Советник управления методологии и стандартизации информационной безопасности и киберустойчивости департамента информационной безопасности Банка России Андрей Елистратов подчеркнул, что устойчивость кредитно-финансовой сферы напрямую связана с надёжностью криптографических механизмов. Отдельно он отметил важность перехода финансовых организаций на отечественные криптографические стандарты.

Традиционно заметное место на конференции заняла и тема подготовки новых специалистов. Для студентов и аспирантов провели специальный конкурс, где молодые исследователи могли представить свои работы экспертной комиссии. Организаторы делают на этом отдельный акцент: интерес к криптографии у молодых специалистов сохраняется, а для отрасли это вопрос не только кадров, но и будущего развития собственных технологий.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!