Исследователи безопасности из компании CyberArk Labs описали новую кибератаку, эксплуатирующую функцию, реализованную во всех недавних процессорах Intel, — Memory Protection Extension (MPX).
Атака, получившая название BoundHooking, позволяет перехватывать вызовы функций между различными программными компонентами под управлением Microsoft Windows. На практике это означает возможность запуска произвольного кода из любого процесса в обход антивирусов и других защитных мер.
Атака срабатывает только на системах на базе процессоров Intel микроархитектуры Skylake и новее с поддержкой функции MPX и под управлением Windows 10 — как 32-битных, так и 64-битных версий. Но самое важное в данном случае — это то, что для проведения атаки необходимо, чтобы злоумышленник уже полностью скомпрометировал атакуемую систему, то есть получил в ней администраторские права.
Атака позволяет вызывать исключение в конкретной области памяти в пользовательском контексте. Затем злоумышленник может перехватить исключение и получить контроль над выполнением потока, используемым конкретным приложением. Например, можно перехватить сигнал от клавиатуры, отправляемый Windows какой-либо службе, а далее — подменять все нажатия пользователем клавиш.
Ни Microsoft, ни Intel не рассматривают данную особенность как уязвимость
«Мы закончили свое исследование вопроса и пришли к выводу, что это не уязвимость, а способ избегнуть обнаружения уже после того, как машина скомпрометирована, — заявили в Microsoft. — Поскольку это методика, применимая только после эксплуатации, она не отвечает критериям уязвимости, подлежащей срочному исправлению, но мы рассмотрим возможность исправления ее в будущих версиях Windows».
В отсутствие патча Microsoft в CyberArk Labs рекомендуют системным администраторам насколько возможно ограничивать пользовательские привилегии в системах, которые могут стать объектами атаки, чтобы минимизировать вероятность успешной атаки.
«Эту атаку можно производить только после того, как система уже скомпрометирована и злоумышленник уже имеет права администратора. Поэтому очевидно, что для Microsoft исправление этой проблемы не в приоритете, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Однако исправить ее необходимо, поскольку она может стать еще одним вектором атаки на систему».
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
