מחקר חשף: ניצול לרעה של תכנון שבב של אינטל מאפשר לעשות Hooking לקוד של אפליקציות Windows 10
מאת:
מערכת Telecom News, 18.10.17, 19:36
למחקר השלכות גם ברמה עסקית בשל פיתוח חומרה מיוחד, שעשו מיקרוסופט ואינטל, שהוא עצמו מאפשר להשתמש בטכניקת התקיפה בשם BoundHook נגד עצמו. כ"כ, מעל 400 מיליון מכשירים משתמשים כיום ב-Windows 10, ולכן מדובר בטכניקה בעלת פוטנציאל לנזקים ברמה נרחבת.
צוות
מעבדות סייברארק יחשוף השבוע טכניקת מתקפה, שגילה לאחרונה, בשם
BoundHook, שמאפשרת לתוקפים לנצל את התכנון של מעבד אינטל
MPX (Memory Protection Extensions) כדי לפעול בשיטת
hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במוד-משתמש. זאת, כדי להריץ קוד מכל תהליך מבלי להתגלות ע"י תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה
Windows 10, ובמכשירים עם מערכת הפעלה
Os 64-bit. זו הטכניקה השנייה, שמעבדות סייברארק חושפות לאחרונה, שמשמשת לתקיפת פונקציות ב-
Windows.
הטכניקה הראשונה שנחשפה נקראת
GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למנוע מתקפות ברמת ה-
kernel (כגון PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-
hooking הזו כדי להשתלט על מכשירים בשכבת ה-
kernel.
מה שמרתק בטכניקת המתקפה הזו הוא, שהיא ממנפת את התכנון עצמו של שבב אינטל, שנבנה בדיוק כדי למנוע מתקפות כאלה, באמצעות שימוש ברכיב אינטל נגד עצמו. דוקא אותו פיתוח המשלב חומרה, הוא זה המאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים, שיעבדו בטכניקה זו, יוכלו לעבוד מתחת לראדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.
מערכת
Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של
boundary exception (שהם נפוצים במהלך מתקפת
buffer overflow).
BoundHook משתמש ב-
boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני
Windows 10.
לטכניקת
BoundHook יכולה להיות השפעה משמעותית מאוד על אבטחה ארגונית:
מעל 400 מיליון מכשירים משתמשים כיום ב-
Windows 10 - על בסיס הנחת עבודה, שהארכיטקטורה של מערכת ההפעלה מונעת מתוקפים לעשות
hooking ולהריץ קוד מתוך אפליקציות, כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא. זה כולל
AV, תוכנות
Firewall אישיות,
HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא
(next-gen). זה יוביל, בסופו של דבר, לקומודיזציה של נוזקות
64-bit ו-
32-bit מתוחכמות יותר בהן משתמשות בד"כ מתקפות מתקדמות היזומות ע"י מדינות.
BoundHook הוא מחקר חדש מתוך סידרה של דו"חות מחקר, שביצעו
CyberArk Labs, שבודקות טכניקות של מתקפות סייבר הקורות בסביבות של "אחרי-פריצה ראשונית". כלומר: מצבים שבהם תוקף כבר פרץ לנקודת קצה בארגון. ההתמקדות על טכניקות כאלו נובעת מהצורך להגביר את מודעות התעשייה להנחת העבודה, שתוקפים בעלי מוטיבציה יכולים, וגם יצליחו לעקוף את פתרונות אבטחת נקודת הקצה.
ברגע שתוקף הצליח להשיג דריסת רגל, כל מה שיקרה כתוצאה מכך הוא קריטי לאבטחה של כל ארגון. תוקפים מכוונים לחשבונות פריבילגיים ואדמיניסטרטיביים, ומנצלים אותם לרעה, כיוון שחשבונות אלה מעניקים להם כוח עצום כגורמי פנים
(insiders) אמינים ברשת.
אם ניתן למנוע מהתוקפים ומהנוזקה להתקדם מנקודת ההדבקה הראשונית לתוך הרשת הארגונית, זה מה שיעשה את ההבדל בין טיפול במחשב אחד שנפרץ לבין מתקפה רחבת היקף וגניבת מידע.
ההבנה של מחזור חיי המתקפה ושל תנועת התוקפים בארגון היא קריטית בחשיפת פרצות האבטחה, שתוקפים מנצלים לרעה. באמצעות זיהוי של חולשות אלו, משתפרת היכולת של תעשיית האבטחה, לפתח פתרונות שימנעו ממתקפות סייבר לתפוס תאוצה.