Опубликован PoC-код для уязвимости обхода функции Microsoft PatchGuard

Японский исследователь в области кибербезопасности Кенто Оки обнаружил уязвимость в защитной функции Microsoft Kernel Patch Protection (также известной как PatchGuard) в Windows. Ее эксплуатация позволяет злоумышленникам загружать вредоносный код в ядро ​​операционной системы Windows. Эксперт подробно описал в своем блоге уязвимость обхода функции PatchGuard, а также опубликовал на GitHub PoC-код для эксплуатации уязвимости.

«Уязвимость можно использовать для проведения атак. Вредоносная программа попытается зарегистрировать функцию процедуры обратного вызова, которая отображается в виртуальном адресе ядра с неподписанным кодом, что обычно невозможно достичь легитимными способами. В сценарии вредоносное ПО должно уже иметь повышенные привилегии, но это не означает, что обход бесполезен», — добавил Кенто.

За последние несколько лет эксперты обнаружили несколько способов обхода PatchGuard и изменений ядра с помощью неавторизованного кода. Такие методы, как GhostHook, InfinityHook и ByePg, были выявлены в 2017 и 2019 годах, и все они позволяют злоумышленникам взломать PatchGuard и подключиться к ядру через легитимную функцию, а затем изменить его внутреннюю структуру.

Однако, несмотря на аргументы специалистов, Microsoft все еще не считает обходы PatchGuard уязвимостями. Эксперты техногиганта называют их скорее банальными ошибками кода. Хотя Microsoft в конечном итоге исправила три обхода PatchGuard через несколько месяцев после публикации отчетов, даже спустя годы классификация обходов PatchGuard как не связанных с безопасностью имеет последствия. Например, исследователи перестали сообщать о подобных проблемах в рамках программы вознаграждения за обнаружение уязвимостей Microsoft.