На GitHub выложили PoC-код, обходящий защитную функцию ядра Windows

31 мая 2021 г., понедельник

Исследователь в области кибербезопасности выявил баг в функции Windows — Kernel Patch Protection (KPP), ранее известной как PatchGuard. С помощью уязвимости злоумышленник может загрузить неподписанный вредоносный код в ядро операционной системы.

Напомним, что KPP пришла в мир Windows с выпуском 64-битных версий Windows XP Professional и Windows Server 2003 (2005 год). С тех пор функция считается ключевым звеном безопасности операционной системы от Microsoft, а её основная задача — не допустить патчинг ядра ОС.

Брешь в Kernel Patch Protection обнаружил японский специалист Кенто Оки, по словам которого баг до сих пор не получил патч. Более того, Оки рассказал, что Microsoft ранее проигнорировала три похожие уязвимости, позволяющие обойти KPP, именно поэтому он не стал уведомлять корпорацию из Редмонда о проблеме.

Скорее всего, специалист имеет в виду техники вроде GhostHook, InfinityHook и ByePg, о которых стало известно в 2017 и 2019 годах. Они тоже позволяют запустить вредоносный код.

Кенто Оки, описавший свой метод обхода Kernel Patch Protection в блоге, также разместил код демонстрационного эксплойта (proof-of-concept — PoC) на GitHub.

К счастью, PoC-код Оки нельзя назвать опасным, поскольку он приводит лишь к сбою в работе операционной системы. Тем не менее всё ещё остаётся риск создания боевого эксплойта, с помощью которого киберпреступники будут запускать свой код в реальных атаках.

Anti-Malware