Уязвимость в новых процессорах Intel позволяет шпионить за приложениями Windows
20 окт 2017 15:40 #62522
от ICT
Перехватвызова Исследователи безопасности из компанииCyberArk Labs описали новую кибератаку, эксплуатирующую функцию, реализованнуюво всех недавних процессорах Intel, — Memory Protection Extension (MPX). Атака,получившая название BoundHooking, позволяет перехватывать вызовы функций междуразличными программными компонентами под управлением Microsoft Windows/ На практике это означает возможность запускпроизвольного кода из любого процесса в обход антивирусов и других защитныхмер. Атака срабатывает только на системах на базепроцессоров Intel микроархитектуры Skylake и новее с поддержкой функции MPX ипод управлением Windows 10 — как 32-битных, так и 64-битных версий. Но самоеважное в данном случае — это то, что для проведения атаки необходимо, чтобызлоумышленник уже полностью скомпрометировал атакуемую систему, то есть получилв ней администраторские права. http://filearchive.cnews.ru/img/cnews/2016/04/19/intel500.jpg"> Атака эксплуатирует функцию памяти в новых процессорах Intel Атака позволяет вызывать исключение вконкретной области памяти в пользовательском контексте. Затем злоумышленникможет перехватить исключение и получить контроль над выполнением потока,используемым конкретным приложением. Например, можно перехватить сигнал отклавиатуры, отправляемый Windows какой-либо службе, а далее — подменять всенажатия пользователем клавиш. [b]НиMicrosoft, ни Intel не рассматривают данную особенность как уязвимость[/b] «Мы закончили свое исследование вопроса ипришли к выводу, что это не уязвимость, а способ избегнуть обнаружения ужепосле того, как машина скомпрометирована, — заявили в Microsoft. — Посколькуэто методика, применимая только после эксплуатации, она не отвечает критериямуязвимости, подлежащей срочному исправлению, но мы рассмотрим возможностьисправления ее в будущих версиях Windows». В отсутствие патча Microsoft в CyberArk Labsрекомендуют системным администраторам насколько возможно ограничиватьпользовательские привилегии в системах, которые могут стать объектами атаки,чтобы минимизировать вероятность успешной атаки. «Эту атаку можно производить только послетого, как система уже скомпрометирована и злоумышленник уже имеет праваадминистратора. Поэтому очевидно, что для Microsoft исправление этой проблемыне в приоритете, — считает [b]Роман Гинятуллин[/b],эксперт по информационной безопасности компании SEC Consult Services. — Однакоисправить ее необходимо, поскольку она может стать еще одним вектором атаки насистему».[img]http://filearchive.cnews.ru/img/cnews/2016/04/19/intel500.jpg"> Атака эксплуатирует функцию памяти в новых процессорах Intel Атака позволяет вызывать исключение вконкретной области памяти в пользовательском контексте. Затем злоумышленникможет перехватить исключение и получить контроль над выполнением потока,используемым конкретным приложением. Например, можно перехватить сигнал отклавиатуры, отправляемый Windows какой-либо службе, а далее — подменять всенажатия пользователем клавиш. НиMicrosoft, ни Intel не рассматривают данную особенность как уязвимость «Мы закончили свое исследование вопроса ипришли к выводу, что это не уязвимость, а способ избегнуть обнаружения ужепосле того, как машина скомпрометирована, — заявили в Microsoft. — Посколькуэто методика, применимая только после эксплуатации, она не отвечает критериямуязвимости, подлежащей срочному исправлению, но мы рассмотрим возможностьисправления ее в будущих версиях Windows». В отсутствие патча Microsoft в CyberArk Labsрекомендуют системным администраторам насколько возможно ограничиватьпользовательские привилегии в системах, которые могут стать объектами атаки,чтобы минимизировать вероятность успешной атаки. «Эту атаку можно производить только послетого, как система уже скомпрометирована и злоумышленник уже имеет праваадминистратора. Поэтому очевидно, что для Microsoft исправление этой проблемыне в приоритете, — считает Роман Гинятуллин,эксперт по информационной безопасности компании SEC Consult Services. — Однакоисправить ее необходимо, поскольку она может стать еще одним вектором атаки насистему».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.