מחקר חדש חושף ניצול לרעה של תכנון שבב של אינטל

יום ה', 19 באוקטובר 2017
למחקר חדש של CyberArk Labs יש השלכות גם ברמה העסקית 
 
מחקר חדש חושף  ניצול לרעה של תכנון שבב של אינטל המאפשר לעשות Hooking לקוד של אפליקציות Windows 10
 
צוות מעבדות סייברארק חושף עתה טכניקת מתקפה שגילה לאחרונה בשם BoundHook, המאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX-Memory Protection Extensions כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במוד-משתמש, וזאת על מנת להריץ קוד מכל תהליך מבלי להתגלות על ידי תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה Windows 10, ובמכשירים עם מערכת הפעלה Os 64-bit.
 
זוהי הטכניקה השנייה שמעבדות סייברארק חושפות לאחרונה ואשר משמשת לתקיפת פונקציות ב-windows.
הטכניקה הראשונה שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למנוע מתקפות ברמת ה- kernel (כגון   - PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בשכבת ה- kernel.
 
מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל שנבנה בדיוק על מנת למנוע מתקפות כאלה – באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.
 
מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים. 
 
לטכניקת BoundHook יכולה להיות השפעה משמעותית מאוד על אבטחה ארגונית:
 
מעל 400 מיליון מכשירים משתמשים כיום ב-Windows 10 – על בסיס הנחת עבודה, שהארכיטקטורה של מערכת ההפעלה מונעת מתוקפים לעשות hooking ולהריץ קוד מתוך אפליקציות
 
כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא.
זה כולל AV, תוכנות Firewall אישיות, HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא (next-gen).
זה יוביל בסופו של דבר לקומודיזציה של נוזקות 64-bit ו-32-bit מתוחכמות יותר – בהן משתמשות בד"כ מתקפות מתקדמות היזומות על ידי מדינות.