هکرها اخیرا توانستند نقطه ضعفی در وصله امنیتی PatchDuard، که برای محافظت از هسته سیستم عامل مایکروسافت ( Kernel ) طراحی شده است بیابند. این نقطه ضعف این امکان را به هکر می دهد که بد افزار مخرب Rootkit را بر روی اخرین و امن ترین سیستم عامل ویندوز 10 نصب کند. محققان آزمایشگاه CyberArk از یک تکنیک جدید خبر می دهند که توسط آن هکر به راحتی می تواند PatchGuard طراحی شده برای هسته سیستم عمل را دور بزند. PatchDuard یک ابزار نرم افزاری است که از اجرا شدن Rootkit و کد های مخرب در سطح Kernel جلوگیری می کند.


Dubbed GhostHook :

Dubbed GhostHook حمله ای است که به گفته محققان آزمایشگاه CyberArk اولین حمله ای میباشد که تکنولوژی دفاعی  به کار رفته شده در سیستم عامل را از کار بندازد و PatchGuard را دور بزند. اگرچه برای پیاده سازی این حمله نیاز می باشد که هکر از قبل سیستم عامل قربانی را هک کرده باشد تا بتواند کد های مخرب خود را برروی Kernel اجرا کند. اساسا می توان این حمله را جزء حملات Post – Exploition در نظر گرفت این حملات به هکر اجازه میدهد تمام منابع را در اختیار و کنترل خود درآورد.

اجرا کردن بد افزار Rootkit برروی Kernel ویندوز 10 :

هکر ابتدا از روش های مختلف به سیستم قربانی نفوذ می کند، پس از موفق شدن به هک سیستم قربانی، در مرحله بعد اقدام به Deploy کردن بد افزار GhostHook بر روی سیستم قربانی می کند. کاری که این بد افزار انجام می دهد، این است که حضور هکر را بر روی سیستم قربانی که از سیستم عامل ویندوزی نسخه 64 بیتی استفاده می کند دائمی و حضور آن را مخفیانه نگه می دارد به عبارت دیگر این حمله این گونه طراحی شده است که در قدم نخست سیستم قربانی توسط عامل مخرب هک می شود، سپس هکر اقدام به راه اندازی Rootkit بر روی هسته سیستم عامل آلوده شده می کند تا کاملا توسط ابزار های جانبی امنیتی مانند آنتی ویروس ها و PatchGuard مایکروسافت Detect نشود. GhostHook از طریق نقطه ضعف موجود در پردازشگر Intel PT، نفوذ میکند و PatchGuard را دور میزند.

مایکروسافت تمایل به برطرف سازی این آسیب پذیری را ندارد

مایکروسافت در یک بیانیه ای عجیب گفته است که GhostHook را تهدیدی جدی برای محصولات خود در نظر نمی گیرد و تاکنون دستوری به کارشناسان امنیت خود مبنی بر طراحی وصله امنیتی فوری برای این آسیب پذیری صادر نکرده است اما ممکن است در نسخه های جدید سیستم عامل های خود به حل این تهدید بپردازد.

با این وجود محققان امنیت آزمایشگاه CyberArk از این اظهارات مایکروسافت ابراز خرسندی نکرده و در جواب گفته اند که مایکروسافت باید PatchGuard را همانند بخشی از Kernel در نظر بگیرد و نباید تحت هیچ شرایطی این Componenet دور زده شود .

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد