Новия метод “Turning Tables” заобикаля всички защити на ядрото (Windows Kernel Mitigations)

Новия метод “Turning Tables” заобикаля всички защити на ядрото (Windows Kernel Mitigations)

(New “Turning Tables” Technique Bypasses All Windows Kernel Mitigations)

Специалисти по компютърна сигурност откриха нова уязвимост, която според тех позволява заобикалянето на всички защитни механизми за дори и за последните версии на Windows ядрото.

Проблемът е открит от Омри Мисгав (Omri Misgav) и Юди Яво (Udi Yavo) от enSilo, техниката на заобикаляне се нарича Turning Tables, и атакува слабите места на виртуалната памет в Уиндоус (Windows virtual page tables).

Виртуалната памет и таблиците за виртуална памет са обща техника за всички операционни системи, не само Windows, те се използват за да съхраняват връзките между виртуалната памет и физическата памет, като същественото тук е че едните се намират в user-space, a другите в kernel-space от гледна точка на правата в ОС. Виртуалните адреси най-вече се използват от софтуера изпълняван от ОС, физическите адреси от своя страна се използват от хардуера най-вече от RAM памета.

Тъй като RAM паметта е ограничена ОС си създава така наречените “споделени таблици”, където различни процеси могат да запаметяват код и да го ползват споделено когато е необходимо.

Turning Tables shared code

Turning Tables exploitation

Мисгав и Яво твърдят че техниката “Turning Tables”, използвана при рапазването на тези споделени таблици в паметта позволява изпълняването на зловреден код който може да измени съдържанието на таблиците по такъв начин че да се позволи изпълняването на процеси с по-високи привилегии от оригинално зададените за тях.

По този начин Turning Tables позволява на атакуващия да си “присвой” привилегии и права за парче код по-високи от стандартните (най често на системно ниво или Kernel-space).

Двамата изследователи на enSilo, заключават че използвайки същия метод може да се променя и кода на вече стартирани приложения в реално време. Това те са доказали емулирайки подобно поведение в лабораторни условия (използвайки sandboxes), създадени специално за тази цел. Например чрез подобна атака може да се манипулират браузъри като Chrome и други.

Turning Tables също засяга macOS и Linux

Тъй като същата концепция се използва от Apple и Linux, като macOS и Linux са също уязвими на теория, въпреки че не са успяли да пресъздадат тази атака в лабораторна среда.

Причината за това е че техниката е пазирана на технологии за оптимизация използвани в всички модерни ОС, казаха от екипа на enSilo.

Най интересното в тази техника обаче е това че тя успешно “заобикаля” всички защитни механизми за всички версии който Microsoft добавиха в съвремените версии на ОС. Списък е приложен по долу:

Windows kernel protections

Презентация за атаката може да бъде свалена от тук.

Статии и линкове по темата:

Researcher Details New Windows Code Injection Technique Named PROPagate

Microsoft August 2018 Patch Tuesday Fixes 60 Security Flaws, Including Two Zero-Days

Funny Google Chromebook Ad Mocks Windows and macOS Operating Systems

Microsoft Released Windows 7 & 8.1 Cumulative Updates KB4345459 & KB4345424

Microsoft Is Rolling Out New Cumulative Updates for Windows 10, 8.1, and 7

About инж. С. Глухов

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *