Windows PatchGuard Protection est contourné par GhostHook

Existe-t-il une méthode possible pour contourner la protection Windows PatchGuard? Eh bien, les dernières recherches indiquent que cela est possible. Le code malveillant peut être exécuté dans Windows Kernal après avoir contourné PatchGuard, ce qui permet aux cybercrivains d’installer des rootkits sur System. Plus tôt, Kernal Patch Protection a été considéré comme invulnérable et il a été fait confiance pour bloquer le code tiers de la correction du noyau Windows.

Dans les dernières recherches de CyberArk, une nouvelle technique appelée «GhostHook» est utilisée pour contourner PatchGuard avec l’aide des fonctionnalités de processeurs Intel. Ce GhostHook fonctionne sur PC avec Intel Process Trace. PatchGuard ne suit pas le gestionnaire PMI et, par conséquent, les cybercriminels pourraient accrocher un code malveillant dans les opérations de Patch Kernel ciblées à l’aide de ce gestionnaire PMI. Maintenant, les cybercriminels ont une méthode indétectable pour réparer le noyau de Windows et peut donc créer un système d’exploitation Windows. GhostHook est fonctionnel avec toutes les versions de Windows, y compris les dernières versions de Windows 10.

Selon les revendications, lorsque CyberArk a contacté le fabricant de l’OS pour les mises à jour de sécurité, il a totalement refusé de le faire. Microsoft a suggéré qu’il remédierait vraisemblablement au problème pendant son cycle régulier de fixation de bugs. Microsoft a refusé de considérer GhostHost comme un défaut de sécurité. Selon Microsoft, il est important pour les attaquants de gagner l’accès au levier du noyau afin d’exécuter GhostHook, par conséquent, l’utilisateur devrait plutôt se concentrer sur la prévention des cybercrivains pour avoir accès au niveau du noyau. Cependant, CyberArk a déclaré qu’il y avait un problème de contournement de PatchGuard et donc les rootkits sont ouverts pour 64bits Windows PC. Jusqu’à présent, PatchGuard était la véritable raison de la forte sécurité de Windows 64 bits et rend très difficile l’infection.