資訊防護公司CyberArk的研究室,針對電腦攻擊手法的研究,有了新的發現,這個攻擊手法目前主要影響的設備為Windows 10的 64位元用戶。
根據CyberArk研究室指出,他們目前尚未在Windows 10的64位元系統上,發現太多具危脅性的惡意程式、軟體存在,而這必須歸功於微軟對64位元Windows作業系統的PatchGuard(內核修補防護)。
但現在他們卻發現,名為GhostHook的攻擊技術,能夠透過Intel CPU處理器中內建的Intel Processor Trace(PT)功能來繞過PatchGuard的保護。
CyberArk表示,PT是藉由硬體擷取執行中的軟體資訊,以便偵測惡意程式並協助去除;然而GhostHook利用減少程序緩衝區域,迫使核心開啟PMI管理程序;而這時GhostHook便能利用PatchGuard無法控管PMI的漏洞,藉此進入電腦內部進行攻擊。
據統計,目前全世界總計有超過4億台的電子設備在Windows 10系統上運行,而GhostHook是首個可以繞過PatchGuard的攻擊技術,能夠讓駭客針對Windows 10的64位系統進行全面控制。
值得注意的是,目前64位元系統中,惡意程式的總威脅量僅佔當前惡意攻擊的1%;而這1%中包括了「Shamoon」,還有先前感染沙烏地阿拉伯國家石油公司(沙特阿美)電腦的「Flame」,而這些可都是國家等級的間諜惡意程式。
對此,微軟認為這種攻擊手法,乃是建立在已經受到感染的電腦之上,才有可能對使用者產生侵害,而這並不符合他們安全更新系統內的服務範圍;近期無法保證會有所動作,僅能允諾未來的Windows更新可能會對此進行處理。
CyberArk批評微軟,沒有意識到PatchGuard是不應該被繞過的安全防護。
因為PatchGuard應該是透過系統本身的SSDT函數,對惡意攻擊進行監控,而不是透過硬體(指Intel PT功能)執行防護。
