Новая техника позволяет обойти все защитные меры уровня ядра в Windows

Новая техника позволяет обойти все защитные меры уровня ядра в Windows

Исследователи компании enSilo обнаружили новую технику обхода защитных мер уровня ядра в операционных системах Windows. Омри Мисгав и Уди Яво назвали новый способ Turning Tables, он использует таблицы страниц (page tables) Windows.

Таблицы страниц - это структура данных, она применяется не только в Windows, а во всех операционных системах, где используется хранение сопоставления между виртуальной и физической памятью.

Виртуальные адреса используются программой, выполняемой процессом ОС, а физические адреса используются аппаратными компонентами (ОЗУ-подсистемой).

Поскольку физическая память (ОЗУ) ограничена, операционные системы создают так называемые «общие страницы кода» («shared code pages»), где несколько процессов могут хранить один и тот же код и при необходимости обращаться к нему.

Мисгав и Яво утверждают, что их метод Turning Tables основан на разработке вредоносного кода, который негативно влияет на эти страницы. Это позволит также повлиять и на выполнение других процессов, часть из которых имеют повышенные привилегии.

Таким образом, Turning Tables может помочь злоумышленнику повысить свои права в системе до уровня SYSTEM.

Специалисты enSilo также подчеркивают, что эта техника может использоваться для изменения приложений, запущенных в песочнице. Например, с помощью атаки Turning Tables можно заразить браузер Chrome, который как раз выполняется в защищенной изолированной среде.

Более того, теоретически эту атаку можно успешно осуществить и на системах Linux и macOS, так как та же концепция таблиц страниц используется и там. Однако исследователи признались, что не проверяли Turning Tables в случае с этими двумя системами.

«Причина универсальности Turning Tables заключается в том, что этот метод основан на оптимизации, используемой практически всеми современными операционными системами», — отметила команда enSilo.

Главная отличительная особенность этого метода — он позволяет обойти все меры безопасности уровня ядра, которые Microsoft реализовала в своей ОС.

С документом исследователей можно ознакомиться по этой ссылке. Также было опубликовано видео, где Мисгав и Яво рассказывают о своем методе:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости в межсетевых экранах Cisco угрожали сотням тысяч устройств

В межсетевых экранах Cisco Adaptive Security Appliance и Firepower Threat Defense найдены две уязвимости, затрагивающие в общей сложности сотни тысяч устройств. Успешная эксплуатация этих дыр позволяет злоумышленнику провести DoS-атаку.

Проблемы выявил специалист Positive Technologies Никита Абрамов, который также объяснил, что для использования багов условный киберпреступник должен отправить специально созданный пакет.

«Если атака увенчается успехом, злоумышленник сможет вызвать отказ в обслуживании межсетевого экрана. После этого устройство перезагрузится, а пользователи уже не смогут попасть во внутреннюю сеть организации», — рассказывает эксперт.

«Поскольку проблема может затронуть и VPN-подключения, подобная атака способна повлиять на бизнес-процессы в условиях повсеместной удалённой работы. Масштаб выявленной уязвимости можно сравнить с CVE-2020-3259, которую нашли на 220 тысячах устройств».

Атакующему не потребуется проходить аутентификацию или получать какие-либо дополнительные права. Достаточно будет банальной отправки специального запроса по определённому пути. Как отметил Абрамов, уязвимость угрожает любой организации, использующей эти устройства для организации удалённого доступа сотрудников.

Бреши получили идентификаторы CVE-2021-1445, CVE-2021-1504 и 8,6 баллов по шкале CVSS 3.1. Таким образом, уязвимостям можно присвоить высокий уровень опасности. В Positive Technologies подчеркнули, что это логические ошибки, часто возникающие по вине разработчиков.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru