Windows PatchGuard Protection é ignorado por ghosthook

Existe algum método possível para ignorar o Windows PatchGuard Protection? Bem, as últimas pesquisas dizem que isso é possível. O código malicioso pode ser executado no Windows Kernal depois de ignorar o PatchGuard e, portanto, isso permite que os cibercriminosos para instalar rootkits no sistema. Anteriormente, a proteção do patch Kernal era considerada invulnerável e era confiável para bloquear o código de terceiros de remendar o kernel do Windows.

Na última pesquisa da CyberArk, uma nova técnica denominada “GhostHook” é usada para ignorar o PatchGuard com a ajuda de recursos da Intel CPUs. Este GhostHook funciona no PC executando o rastreamento de processo Intel. O PatchGuard não segue o manipulador do PMI e, assim, os ciber-criminosos podem enganchar código malicioso nas operações de kernel de patch segmentadas usando este manipulador PMI. Agora, cyber-criminosos têm método indetectável para corrigir o kernel do Windows e, portanto, pode rootkit PC Windows. O GhostHook é funcional com todas as versões do Windows, incluindo as últimas janelas 10.

De acordo com as afirmações, quando CyberArk contactado o fabricante do sistema operacional para atualizações de segurança, ele recusou totalmente a fazê-lo. Microsoft sugeriu que ele provavelmente irá corrigir o problema durante o seu ciclo regular de correção de bugs. A Microsoft recusou-se a considerar GhostHost como uma falha de segurança. Como por Microsoft, é importante para que os atacantes ganhem o acesso da alavanca do kernel a fim executar GhostHook conseqüentemente o usuário deve rather focalizar em impedir que os cyber-trafulhas começ o acesso sobre o nível do kernel. No entanto, CyberArk deu uma declaração de que há uma questão de ignorar o PatchGuard e, portanto, rootkits estão abertos para 64bits Windows PC também. Até agora, PatchGuard foi a verdadeira razão por trás da segurança forte de janelas de 64 bits e torna muito difícil de infectar.