حمله‌ی جدید برای دورزدن PatchGuard مایکروسافت

microsoft patchguard

محقق ژاپنی، کنتو اوکی، باگی در PatchGuard پیدا کرده که یک مهاجم می‌تواند با اکسپلویت آن کدهای مخرب بدون امضا (unsigned) را در کرنل ویندوز بارگذاری کند.

نرم‌افزار PatchGuard که با نام Kernel Patch Protection هم شناخته می‌شود، یک ابزار حفاظت نرم‌افزاری است که با این هدف طراحی شده که از پچ‌شدن کرنل ویندوزهای 64 بیتی جلوگیری کند و از این طریق مانع آلودگی به روت‌کیت یا اجرای کدهای مخرب در سطح کرنل شود. این قابلیت اولین بار در سال 2005 و به همراه نسخه 64 بیت ویندوز XP و ویندوز سرور 2003 SP1 معرفی شد. این محقق ژاپنی جزییات فنی این حمله را در یک پست بلاگ توضیح داده که آن را می‌توانید از اینجا بخوانید. کد PoC این حمله هم منتشر شده که آن هم از این آدرس قابل دسترسی است.

microsoft patchguard

این خبر اولین بار توسط The Record گزارش شد. این منبع خبری اذعان کرده که این آسیب‌پذیری توسط مایکروسافت حل نشده است.

به گفته The Record:

«کنتو هفته‌ی گذشته در ایمیلی به The Record گفت که این باگ را به مایکروسافت گزارش نکرده، زیرا این شرکت سه آسیب‌پذیری دیگر را برای دورزدن PatchGuard در سال‌های گذشته نادیده گرفته و او می‌دانسته که مایکروسافت عجله‌ی زیادی برای حل این مشکل ندارد.»

این مشکل به‌شدت خطرناک به شمار می‌رود، زیرا تمام نسخه‌های 64 بیتی ویندوز از قابلیت PatchGuard پشتیبانی می‌کنند.

مهاجمان با پچ‌کردن کرنل می‌توانند کدهای مخرب را در حالت کرنل اجرا کنند؛ یعنی بدافزاری که می‌تواند با بالاترین سطح دسترسی اجرا شود، ممکن است از دید راهکارهای امنیتی رایج پنهان بماند. در سال‌های گذشته، کارشناسان امنیت تا به حال در حملات زیادی توانسته‌اند PatchGuard را دور بزنند.

مایکروسافت هیچ وقت حملاتی مانند حملات کنتو را جدی نگرفته است، دلیل آن هم این است که برای انجام چنین حملاتی، مهاجم باید بتواند کد را با دسترسی ادمین اجرا کند، و این غول فناوری اطلاعات اعتقاد دارد که با چنین سطح دسترسی، به هر حال می‌توان کنترل یک سیستم ویندوزی را به طور کامل به دست گرفت.

به هر ترتیب، مایکروسافت حملات دورزدن PatchGuard را که در سال‌های گذشته توسط محققان منتشر شده‌اند پچ نکرده و به این مشکل برچسب امنیتی non-issue را داده است. محققان خاطر نشان کرده‌اند که این تکنیک‌های هک ممکن است برای جاگذاری روت‌کیت داخل سیستم‌های ویندوزی و دورزدن تمهیدات امنیتی استفاده شوند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دوره هکر قانونمند