Уязвимость в новых процессорах Intel позволяет шпионить за приложениями Windows

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

Функция в новых процессорах Intel позволяет злоумышленникам запускать произвольный код из любого процесса в обход антивирусов. Однако эта атака может осуществляться только при условии, что атакуемая система уже скомпрометирована — у злоумышленника есть административный доступ.


Перехват вызова

Исследователи безопасности из компании CyberArk Labs описали новую кибератаку, эксплуатирующую функцию, реализованную во всех недавних процессорах Intel, — Memory Protection Extension (MPX). Атака, получившая название BoundHooking, позволяет перехватывать вызовы функций между различными программными компонентами под управлением Microsoft Windows/

На практике это означает возможность запуск произвольного кода из любого процесса в обход антивирусов и других защитных мер.

Атака срабатывает только на системах на базе процессоров Intel микроархитектуры Skylake и новее с поддержкой функции MPX и под управлением Windows 10 — как 32-битных, так и 64-битных версий. Но самое важное в данном случае — это то, что для проведения атаки необходимо, чтобы злоумышленник уже полностью скомпрометировал атакуемую систему, то есть получил в ней администраторские права.

Атака эксплуатирует функцию памяти в новых процессорах Intel

Атака позволяет вызывать исключение в конкретной области памяти в пользовательском контексте. Затем злоумышленник может перехватить исключение и получить контроль над выполнением потока, используемым конкретным приложением. Например, можно перехватить сигнал от клавиатуры, отправляемый Windows какой-либо службе, а далее — подменять все нажатия пользователем клавиш.

Ни Microsoft, ни Intel не рассматривают данную особенность как уязвимость

«Мы закончили свое исследование вопроса и пришли к выводу, что это не уязвимость, а способ избегнуть обнаружения уже после того, как машина скомпрометирована, — заявили в Microsoft. — Поскольку это методика, применимая только после эксплуатации, она не отвечает критериям уязвимости, подлежащей срочному исправлению, но мы рассмотрим возможность исправления ее в будущих версиях Windows».

В отсутствие патча Microsoft в CyberArk Labs рекомендуют системным администраторам насколько возможно ограничивать пользовательские привилегии в системах, которые могут стать объектами атаки, чтобы минимизировать вероятность успешной атаки.

«Эту атаку можно производить только после того, как система уже скомпрометирована и злоумышленник уже имеет права администратора. Поэтому очевидно, что для Microsoft исправление этой проблемы не в приоритете, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Однако исправить ее необходимо, поскольку она может стать еще одним вектором атаки на систему».