Nuevo bypass revelado en Microsoft PatchGuard (KPP)


patchguard.png

Un investigador de seguridad publicó el código de prueba de concepto el mes pasado para un exploit que puede pasar por alto la característica de seguridad de Protección de parches de kernel de Microsoft (KPP), más comúnmente conocida como PatchGuard.

Llamado ByePg, este es el segundo bypass de Patchguard descubierto y revelado públicamente en los últimos seis meses, después de InfinityHook, que se reveló en julio de este año.

¿Qué es Microsoft PatchGuard?

Microsoft PatchGuard es una característica de seguridad que se introdujo en 2005 en Home windows XP. Solo está disponible para las versiones de 64 bits de Microsoft Home windows, y su función es evitar que las aplicaciones parchen el núcleo.

Parchear el kernel es un término técnico que se refiere a modificar el componente más importante del sistema operativo (que transmite comandos de las aplicaciones al hardware subyacente) con código no autorizado.

Antes del lanzamiento de PatchGuard, muchas aplicaciones se tomaron la libertad de modificar el kernel de Home windows para que pudieran hacer su trabajo más fácilmente o acceder a funciones sensibles. El program antivirus, los controladores sospechosos, los trucos de juegos y el malware a menudo usaban parches de kernel para sus propios fines muy diferentes.

Los desarrolladores de Rootkit se encontraban entre los mayores fanáticos de los parches de kernel, utilizando la técnica como una forma de incrustar su malware en el nivel del sistema operativo, lo que le da acceso ilimitado a toda la computadora del usuario.

Inicialmente, PatchGuard no fue el éxito rotundo que Microsoft esperaba, y se descubrieron varias derivaciones a fines de la década de 2010, todo lo cual Microsoft eventualmente parchó.

PatchGuard no eliminó los rootkits por sí solo, pero los rootkits finalmente se extinguieron, especialmente después del lanzamiento de Windows 10, que presentaba características de seguridad adicionales, junto con PatchGuard.

PatchGuard evita

Sin embargo, incluso si PatchGuard quedó en segundo plano en las capas cada vez mayores de características de seguridad de Home windows, los investigadores de seguridad continuaron presionando su mecanismo interno, buscando nuevas formas de eludir las protecciones que proporciona.

Después del lanzamiento de Windows 10 en 2015, el bypass de PatchGuard más notable fue GhostHook, descubierto por investigadores de CyberArk en 2017. GhostHook abusó de la función Intel Processor Trace (PT) para omitir PatchGuard y parchar el núcleo.

Un segundo bypass fue descubierto y revelado durante el verano, en julio. Encontrado por Nick Peterson, experto en trampas en Riot Game titles, este bypass fue nombrado InfinityHooky abusó de la API NtTraceEvent para parchear el kernel.

Al describir el bypass en ese momento, Peterson dijo que «InfinityHook es una de las mejores herramientas en el arsenal del rootkit en la última década».

El mes pasado, se reveló un tercer bypass de PatchGuard esta vez por el desarrollador de software program turco Can Bölük. Llamado ByePg, este exploit secuestra la HalPrivateDispatchTable para permitir que una aplicación maliciosa parchee el kernel.

Al igual que Peterson, al describir ByePg, Bölük solía decir que «el potencial de armamento de (ByePg) solo está limitado por su creatividad».

ByePG se considera aún más peligroso, ya que puede omitir tanto PatchGuard como la Integridad de código protegida por hipervisor (HVCI), una característica que permite a Microsoft incluir en la lista negra los controladores defectuosos en los dispositivos de los usuarios.

Los tres, CyberArk, Peterson y Bölük, se hicieron públicos con sus respectivas derivaciones PatchGuard después de que Microsoft rechazó la solución de los problemas.

Controversia

La respuesta de Microsoft en los tres casos fue la misma. Los tres exploits necesitaban derechos de administrador para ejecutarse, lo que significa que no podían clasificarse como problemas de seguridad.

El fabricante del sistema operativo argumentó que una vez que un atacante tiene acceso a un sistema nearby con derechos de administrador, puede llevar a cabo cualquier operación que desee. Técnicamente, tienen razón, pero también están equivocados. Si bien esta explicación puede ser cierta para cualquier otro vector de ataque, no es válida para PatchGuard, un sistema destinado a proteger el núcleo incluso de procesos con altos privilegios, como un controlador o aplicaciones antivirus. Este fue el único propósito de PatchGuard, argumentaron los investigadores.

También dijeron que hoy en día es trivial para un atacante elevar los privilegios y luego ejecutar algo como InfinityHook o el nuevo ByePg para establecer un punto de apoyo permanente en el núcleo y abrir la puerta para el retorno de rootkits en Home windows 10, un lugar donde Realmente no he logrado infectar en los mismos números que lo hicieron con versiones anteriores de Windows como XP, Vista y 7.

Cuando este reportero contactó a Microsoft en 2017, el fabricante del sistema operativo dijo que no ignoraban el problema, pero que simplemente no lo priorizaban como una falla de seguridad.

En Microsoft, las fallas de seguridad se corrigen de inmediato y los parches se entregan a través del proceso mensual Patch Tuesday. Los errores, por otro lado, se reparan en un ciclo bianual.

Para su crédito, Microsoft parchó GhostHook en algún lugar a fines de 2017, pero nadie sabía que sucedió durante semanas. También se envió un parche para InfinityHook en las compilaciones de Home windows Insider en septiembre, y probablemente se incluye con Windows 10 v1909, lanzado a principios de este mes.

ByePG permanece sin parches, y Bölük, al igual que los otros investigadores de seguridad antes que él, ahora siente que su trabajo de investigación está siendo rechazado.

El investigador le dijo a ZDNet en una conversación privada que entendía las reglas del programa de recompensas de errores de Microsoft y que no sería elegible para un pago monetario. Sin embargo, siente que Microsoft está minimizando la gravedad de estas vulnerabilidades y retrasando los parches innecesariamente, abriendo la puerta a posibles ataques.

Las reglas no cambiarán

Por nuestras interacciones con el personalized de relaciones públicas de Microsoft, sabíamos que no obtendríamos una respuesta directa a nuestras preguntas, por lo que nos comunicamos con un empleado de Microsoft que trabaja parte del programa de errores de la compañía y proporcionamos el anonimato para sus declaraciones.

El empleado describió el problema de derivación de PatchGuard como un vacío técnico en las reglas del programa de la compañía, pero que no va a obtener una excepción del private de Microsoft.

Mientras que la regla que «administrador a núcleo no es un límite de seguridad«establece claramente que los exploits ejecutados con privilegios administrativos no cuentan para el programa de recompensas de errores de la compañía, también entiende que este es un gran problema con PatchGuard, especialmente.

Sin embargo, nuestra fuente quería dejar muy en claro que estos problemas no se ignoran, y omitir PatchGuard o cualquiera de las otras características de seguridad de la compañía enarquece a Microsoft.

Es posible que las tres derivaciones de PatchGuard no hayan obtenido una clasificación de «mistake de seguridad», pero finalmente fueron reparadas, solo a un ritmo más lento, y por otro equipo.

El empleado de Microsoft nos dice que esta clasificación como un error en lugar de una falla de seguridad es lo que generalmente irrita al 99% de los investigadores que informan sobre estas cosas.

Él dice que la mayoría de los investigadores de seguridad entienden que el programa de recompensas de errores de Microsoft tiene reglas y que no serán elegibles para recibir recompensas en efectivo, pero la mayoría está molesta porque su trabajo, que en muchos casos tomó meses, no recibirá el reconocimiento público de Microsoft , en absoluto.

Además, los errores que encuentran tampoco recibirán un número CVE, un código de identificación para una vulnerabilidad válida, que muchos investigadores recopilan y hacen alarde de trofeos.

Esta es la razón por la cual, dijo, muchos investigadores publican detalles sobre su trabajo, completos con un código de prueba de concepto, que pueden ser fácilmente armados. Nuestra fuente nos dice que no culpa a los investigadores por hacerlo, ni a sus colegas, ya que esta es a veces la única forma de mostrar sus talentos de ingeniería inversa y búsqueda de errores en ausencia de un asentimiento de Microsoft.



Supply hyperlink

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*