Gli esperti di CyberArk hanno scoperto una falla di sicurezza nel PatchGuard di Windows 10 che se sfruttata permetterebbe ad un hacker di controllare ed eseguire qualsiasi tipo di codice sul PC vittima, senza poter essere rilevato .
L’attacco Ghost Hook , questo il nome attribuitogli dai ricercatori, sfrutta dunque un bug del Kernel Patch Protection (KPP) di Windows (informalmente conosciuto come PatchGuard), una feature di sicurezza introdotta nel 2005 con Windows XP per sistemi a 64-bit che dovrebbe appunto prevenire il patching del kernel con codice di terze parti.
Secondo quanto riportato dai ricercatori, l’attacco funziona solo su sistemi che montano un Intel Processor Trace (PT) , una caratteristica delle CPU Intel disegnata per supportare le operazioni di debug, monitoring delle performance e rilevamento di exploit.
Questa nuova tecnica è da intendersi come post-exploit poiché, per essere utilizzata, richiede che l’hacker abbia già il controllo sul sistema . Lo scenario prevede l’uso di un exploit per compromettere la macchina e, successivamente, l’uso di GhostHook per rendere permanente e segreta la propria presenza sul computer infettato.
I ricercatori hanno sottolineato che in molti si affidano a PatchGuard e a DeviceGuard per ricevere informazioni affidabili e controllare se è in corso un attacco, GhostHook permette di eludere i controlli ed eseguire codice nel kernel senza essere rilevati da nessun antivirus o prodotto di sicurezza analizzato (tra cui antimalware, firewall ecc.).
La tecnologia primaria coinvolta in questo attacco è l’Intel Processor Trace (Intel PT), un’estensione dell’architettura Intel che cattura, attraverso una struttura hardware dedicata, informazioni sul flusso di esecuzione di qualsiasi software eseguito sulla CPU raccogliendole in pacchetti. GostHook sfrutta una debolezza nell’implementazione di Microsoft di Intel PT, nello specifico, nel punto in cui esso comunica con il sistema operativo.
La tecnica proposta si basa sull’indurre la CPU ad eseguire del codice esterno allocando un buffer di piccole dimensioni per i pacchetti PT. In questo modo lo spazio del buffer si esaurirà velocemente e la CPU, nel tentativo di gestire l’overflow, salterà al PMI handler (un pezzo di codice controllato dai ricercatori).
Il problema è che PatchGuard non monitora il PMI handler: ciò fornisce agli attaccanti un metodo non rilevabile per modificare il kernel e incorporare rootkit in Windows.
Microsoft ha risposto alla segnalazione dei ricercatori sostenendo che finché l’attacco coinvolge solo sistemi già compromessi non sarà rilasciato un aggiornamento di emergenza , poiché l’attaccante ha già i privilegi di amministratore della macchina; ma il problema sarà affrontato nelle prossime versioni di Windows.
Inoltre Microsoft, diffondendo un comunicato, ha invitato i suoi utenti a ricordare l’uso delle buone pratiche di sicurezza durante la navigazione, con particolare attenzione a cliccare su link e ad aprire allegati provenienti da fonti sconosciute .
CyberArk sostiene che questa falla di sicurezza potrebbe essere estremamente difficile da risolvere, inoltre si ritiene molto delusa dalla risposta di Microsoft alla segnalazione, e sottolinea che questo tipo di componenti del kernel non dovrebbero essere aggirabile in nessun caso.
Anche Kaspersky sostiene di aver preso in considerazione GhostHook ma, come Microsoft, ritiene che questa tecnica non estenda in modo significativo la superficie di attacco di una macchina già compromessa.
Il CyberArk senior director, Kobi Ben Naim, ha tenuto a precisare che l’analisi di varianti di malware quali Shamoon e Flame indicano che non ci vorrà molto tempo prima che si inizino a condurre attacchi usando queste vulnerabilià, o che addirittura siano già utilizzate in malware per uso militare .