Bypass PatchGuard\HVCI, Windows 8\8.1\10, CVE-N/A, 0-day, ByePg

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3
Модератор
Регистрация
19.12.2018
Сообщения
447
Реакции
419
Баллы
64
Разработчик программного обеспечения Джан Бёлюк (Can Bölük) опубликовал PoC-код для уязвимости, эксплуатация которой позволяет обойти функцию безопасности Microsoft Kernel Patch Protection (KPP), более известную как PatchGuard. Метод обхода получил название ByePg.

PatchGuard, также известная как Kernel Patch Protection (KPP) — функция в 64-разрядных версиях Windows, обеспечивающая защиту от несанкционированной модификации ядра ОС вредоносным кодом.

После выпуска Windows 10 в 2015 году самым известным из всех методов обходов PatchGuard был GhostHook, обнаруженный исследователями CyberArk в 2017 году. Он работал только на системах с процессорами Intel, использующими функцию Processor Trace, позволяя внедрить вредоносный код в ядро ОС и установить руткит на системе. Второй метод обхода был обнаружен в июле нынешнего года и получил название InfinityHook. Метод был связан с использованием API NtTraceEvent для изменения ядра.

Недавно обнаруженный метод обхода ByePg позволяет взломать HalPrivateDispatchTable, чтобы позволить мошенническому приложению изменить ядро. ByePG считается еще более опасным, поскольку может обойти как PatchGuard, так и функцию Hypervisor-Protected Code Integrity (HVCI), позволяющую Microsoft помещать в «черный» список «плохие драйверы» на устройствах пользователей.

Ответ Microsoft во всех трех случаях был одинаковым. Поскольку все три эксплоита нуждаются в правах администратора для работы, то их нельзя классифицировать как проблемы безопасности. По словам компании, как только злоумышленник получит локальный доступ к системе с правами администратора, он сможет выполнить любую операцию, какую захочет.

Пока что неизвестно, планирует ли компания выпустить патч против данного метода обхода.


Источник: https://www.securitylab.ru/news/502832.php
Блог: https://blog.can.ac/2019/10/19/byepg-defeating-patchguard-using-exception-hooking/
PoC: https://github.com/can1357/ByePg
 

Crypto Locker

(L3) cache
Забанен
Регистрация
22.10.2019
Сообщения
178
Реакции
105
Баллы
39
Пожалуйста, обратите внимание, что пользователь заблокирован

Paramedic

RAM
Модератор
Регистрация
25.11.2019
Сообщения
104
Реакции
65
Баллы
23
а что интересного? очередная дыра, которая особого профита и не несёт.
 

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3
Модератор
Регистрация
19.12.2018
Сообщения
447
Реакции
419
Баллы
64
а что интересного? очередная дыра, которая особого профита и не несёт.
Скажи , а много ли ты видишь багов которые публикуют именно с обходом patchguard? Мне кажется нет.
Поэтому это не очередная дыра. К тому же это 0дей. Патча то нет.

Бага в первую очередь представляет особый интерес для вирусописателей. Но это не очередная LPE , тут руткит технологии могут вернутся в строй. От того и профит. Шикарная бага учитывая Hypervisor-Protected Code Integrity (HVCI) .
 

Paramedic

RAM
Модератор
Регистрация
25.11.2019
Сообщения
104
Реакции
65
Баллы
23
Скажи , а много ли ты видишь багов которые публикуют именно с обходом patchguard? Мне кажется нет.
Поэтому это не очередная дыра. К тому же это 0дей. Патча то нет.

Бага в первую очередь представляет особый интерес для вирусописателей. Но это не очередная LPE , тут руткит технологии могут вернутся в строй. От того и профит. Шикарная бага учитывая Hypervisor-Protected Code Integrity (HVCI) .
патчгуард можно отключить и без багов, хомячковая защита. примеров на гите полно. касательно руткит технологий - зачем? вы осознаёте обьём работ, который потребуется выполнить, и профит с этого дела? это неравномерно, бессмысленно. нормально крепиться можно и в юзермоде.
 

AsHkERE

RAM
Пользователь
Регистрация
06.04.2019
Сообщения
147
Реакции
45
Баллы
26
Telegram
Jabber
а теперь пишите руткит под эту дыру, и посмотрим, кто денег заработает, а кто нет
 

kerberos

(L3) cache
Модератор
Регистрация
24.02.2019
Сообщения
281
Реакции
158
Баллы
39
а что интересного? очередная дыра, которая особого профита и не несёт.
Заметил страную тенденцию - выложишь что-то на форуме, сразу набигают и начинают кретиковать. Мол что за дыра, да вообщё это не дыра и так далее. Если тебе это не надо просто проходим мимо. ТС проделал работу вылажил вам инфу, она кому то 100% будет полезна. А если вас послушать вообще ничего не надо выкладывать одни тут гуру седят и просто нечему учится...
 

Paramedic

RAM
Модератор
Регистрация
25.11.2019
Сообщения
104
Реакции
65
Баллы
23
Заметил страную тенденцию - выложишь что-то на форуме, сразу набигают и начинают кретиковать. Мол что за дыра, да вообщё это не дыра и так далее. Если тебе это не надо просто проходим мимо. ТС проделал работу вылажил вам инфу, она кому то 100% будет полезна. А если вас послушать вообще ничего не надо выкладывать одни тут гуру седят и просто нечему учится...
да причем тут это, суть просто в том что это неприменимо на практике. и это просто информационный комментарий, без какого либо негатива.
 

AsHkERE

RAM
Пользователь
Регистрация
06.04.2019
Сообщения
147
Реакции
45
Баллы
26
Telegram
Jabber
Заметил страную тенденцию - выложишь что-то на форуме, сразу набигают и начинают кретиковать. Мол что за дыра, да вообщё это не дыра и так далее. Если тебе это не надо просто проходим мимо. ТС проделал работу вылажил вам инфу, она кому то 100% будет полезна. А если вас послушать вообще ничего не надо выкладывать одни тут гуру седят и просто нечему учится...
согласен, ++
 
Верх