TTT Virtual Summit 2023

เตือนการโจมตี GhostHook บายพาส Windows PatchGuard แม้ Windows 10 ก็ไม่รอด

June 23, 2017 Endpoint Security, Microsoft, Products, Security, Threats Update, Vulnerability and Risk Management

นักวิจัยด้านความมั่นคงปลอดภัยจาก CyberArk ค้นพบเทคนิคการบายพาสระบบป้องกัน Windows PatchGuard โดยอาศัยฟีเจอร์ของ Intel CPU และลอบส่งโค้ดแปลกปลอมเข้ามารันใน Windows Kernel เพื่อฝัง Rootkis บนระบบปฏิบัติการได้ โดยเรียกการโจมตีนี้ว่า GhostHook

Credit: Carsten Reisinger/ShutterStock

PatchGuard หรือชื่อเต็มว่า Kernel Patch Protection (KPP) เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยสำหรับระบบปฏิบัติการ Windows 64 bits ที่ช่วยป้องกันไม่ให้ Kernel ถูกแพทช์โดยโค้ดของ 3rd Party ซึ่ง Microsoft เปิดตัว PatchGuard ครั้งแรกในปี 2005 บนระบบปฏิบัติการ Windows XP ฟีเจอร์ดังกล่าวช่วยป้องกัน Rootkits ได้เป็นอย่างดีและถูกใช้งานมาจนถึงทุกวันนี้

CyberArk ระบุว่า GhostHook สามารถใช้บายพาส PatchGuard ได้เป็นอย่างดีบนระบบที่รัน Intel Processor Trace (PT) ฟีเจอร์สำคัญบน Intel CPU ที่ใช้ฮาร์ดแวร์แยกต่างหากในการตรวจจับข้อมูลเกี่ยวกับการรันซอฟต์แวร์ต่างๆ เพื่อช่วยในการแก้ไขบั๊กและตรวจจับมัลแวร์ ซึ่งโดยปกติแล้ว แฮ็คเกอร์จะเข้ามายุ่งเกี่ยวกับการปฏิบัติงานของ Inteol PT ได้ จำเป็นต้องแพทช์โค้ดแปลกปลอมลงบน Windows Kernel แต่การกระทำนี้จะถูกตรวจจับและบล็อกโดย PatchGuard

อย่างไรก็ตาม CyberArk พบว่า การจองบัฟเฟอร์ขนาดเล็กมากๆ เพื่อประมวลผล Packet ของ Intel PT ทำให้ CPU ใช้งานบัฟเฟอร์จนเกินพื้นที่ ส่งผลให้ PMI Handler เริ่มทำงานเพื่อจัดการกับโค้ดที่ล้นเกินออกมา (Overflowing Code) ปัญหาที่ตามมาคือ PatchGuard ไม่ได้ติดตามการทำงานของ PMI Handler ทำให้แฮ็คเกอร์สามารถโจมตีแบบ Buffer Overflow เพื่อลอบส่งโค้ดแปลกปลอมเข้ามาแพทช์ Kernel ผ่านทาง PMI Handler ได้

เทคนิคนี้ช่วยให้แฮ็คเกอร์สามารถลอบแพทช์ Windows Kernel และฝัง Rootkits บนระบบปฏิบัติการ Windows 64 bits ได้โดยที่ผู้ใช้ไม่รู้ตัว ที่สำคัญคือ Windows 10 ก็ได้รับผลกระทบต่อการโจมตีดังกล่าวเช่นกัน

CyberArk ได้แจ้งวิธีการโจมตีแบบ GhostHook ไปยังทีมของ Microsoft เรียบร้อย แต่ทางบริษัทปฏิเสธที่จะออกแพทช์อัปเดตด้านความมั่นคงปลอดภัย เนื่องจากไม่คิดว่า GhostHook เป็นช่องโหว่ เพราะถ้าแฮ็คเกอร์สามารถเข้าถึงระบบปฏิบัติการในระดับ Kernel ได้แล้ว ย่อมสามารถทำอันตรายแบบอื่นได้มากกว่าการโจมตีแบบ GhostHook อย่างไรก็ตาม Microsoft อาจจะออกแพทช์เพื่อแก้ไขปัญหาดังกล่าวในรอบการแพทช์ถัดไปแทน

อ่านรายละเอียดเชิงเทคนิคได้ที่ https://www.cyberark.com/threat-research-blog/ghosthook-bypassing-patchguard-processor-trace-based-hooking/

ที่มา: https://www.bleepingcomputer.com/news/security/new-ghosthook-attack-bypasses-windows-patchguard-protections/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Salesforce นำเสนอโซลูชั่น AI ใหม่ล่าสุด ต่อยอดนวัตกรรมเพื่อยกระดับ Customer Experience ให้ธุรกิจทั่วโลก [Guest Post]

กรุงเทพฯ, ประเทศไทย, 8 มิถุนายน 2566 – เมื่อเร็ว ๆ นี้ Salesforce (เซลส์ฟอร์ซ) ประกาศเปิดตัวนวัตกรรม AI ล่าสุดหลายรายการสำหรับ Data …

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand