Windows 10 è un sistema che ha portato numerose novità sotto l’aspetto della sicurezza, una di questa è la Kernel Patch Protection (KPP) implementata nelle versioni a 64 bit che impedisce a terzi di aggiungere o modificare routine nel Kernel di Windows. Questa tecnologia è stata implementata ancora nel lontano 2005, ancora con Windows XP, ma ha preso sicuramente piede con il diffondersi delle versioni a 64 bit, cosa avvenuta da qualche anno a questa parte.
E’ di oggi la notizia di un nuovo metodo di attacco denominato GhostHook scoperto dai laboratori CyberArk, che permette di bypassare la protezione KPP potendo così accedere al kernel di Windows. C’è da dire che questo attacco ha bisogno di alcuni pre-requisiti che non lo dispongono come un pericolo imminente e reale per tutti gli utenti, infatti questo attacco sfrutta la tecnologia Intel Processor Trace (PT) che è una funzionalità delle cpu Intel con hardware dedicato a raccogliere informazioni sul software in esecuzione utili al debug ed alla rilevazione di codice maligno. Inoltre, un secondo requisito è che l’attaccante abbia già compromesso il sistema oggetto di attacco, cosa che quindi riduce di molto lo spazio di azione.
L’attacco consiste nell’inviare un piccolo pacchetto di dati contenente dati PT che costringe la CPU ad esaurire il buffer e ad aprire una chiamata PMI per gestire l’overflow, quest’ultimo non è monitorato dalla Kernel Patch Protection quindi espone il kernel al codice maligno.
Microsoft ha indicato che non considera questo attacco come metodo di sicurezza, bensì verranno rilasciati degli aggiornamenti nei prossimi mesi, questo motivato dal fatto che l’attacco richiede che il sistema sia già compromesso e che quindi va fatta più un opera di prevenzione da parte degli utenti e non una cura del danno già avvenuto.
Cyberark ha indicato invece che una protezione del genere, sistema compromesso o no, non dev’esser bypassata e che la questione debba esser corretta.
Approfondimenti raggiungibili qui: