Scoperto nuovo metodo di attacco chiamato GhostHook che bypassa le protezioni di Windows 10

Tempo di lettura: 2 minuti
Windows 10 è un sistema che ha portato numerose novità sotto l’aspetto della sicurezza, una di questa è la Kernel Patch Protection (KPP) implementata nelle versioni a 64 bit che impedisce a terzi di aggiungere o modificare routine nel Kernel di Windows. Questa tecnologia è stata implementata ancora nel lontano 2005, ancora con Windows XP, ma ha preso sicuramente piede con il diffondersi delle versioni a 64 bit, cosa avvenuta da qualche anno a questa parte. 
E’ di oggi la notizia di un nuovo metodo di attacco denominato GhostHook scoperto dai laboratori CyberArk, che permette di bypassare la protezione KPP potendo così accedere al kernel di Windows. C’è da dire che questo attacco ha bisogno di alcuni pre-requisiti che non lo dispongono come un pericolo imminente e reale per tutti gli utenti, infatti questo attacco sfrutta la tecnologia Intel Processor Trace (PT) che è una funzionalità delle cpu Intel con hardware dedicato a raccogliere informazioni sul software in esecuzione utili al debug ed alla rilevazione di codice maligno. Inoltre, un secondo requisito è che l’attaccante abbia già compromesso il sistema oggetto di attacco, cosa che quindi riduce di molto lo spazio di azione.
L’attacco consiste nell’inviare un piccolo pacchetto di dati contenente dati PT che costringe la CPU ad esaurire il buffer e ad aprire una chiamata PMI per gestire l’overflow, quest’ultimo non è monitorato dalla Kernel Patch Protection quindi espone il kernel al codice maligno.
Microsoft ha indicato che non considera questo attacco come metodo di sicurezza, bensì verranno rilasciati degli aggiornamenti nei prossimi mesi, questo motivato dal fatto che l’attacco richiede che il sistema sia già compromesso e che quindi va fatta più un opera di prevenzione da parte degli utenti e non una cura del danno già avvenuto. 
Cyberark ha indicato invece che una protezione del genere, sistema compromesso o no, non dev’esser bypassata e che la questione debba esser corretta.
Approfondimenti raggiungibili qui:
Elvis
Seguimi
(Visited 79 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!