Новое поколение Microsoft PatchGuard (или Kernel Patch Protection) для защиты основных компонентов операционной системы Windows 8.1 обладает существенными улучшениями, которые препятствуют атакам хакеров. Однако, несмотря на это, по результатам анализа безопасности, проведенного специалистами исследовательского центра Positive Research, ряд слабых мест, позволяющих хакеру обойти эти механизмы или полностью обезвредить систему защиты, все же присутствует.
В исследовании Марка Ермолова и Артёма Шишкина, которое опубликовано на сайте Positive Technologies, приводится сценарии атак, позволяющих нарушить защиту KPP. Так, потенциальный злоумышленник может создать драйвер, который будет избирательно применять одну или несколько из приведенных техник и таким образом полностью блокировать механизмы KPP, позволяя беспрепятственно изменять структуру и код ядра.
Специалисты Positive Research отмечают, что PatchGuard тем не менее является весьма перспективным инструментом защиты, а заложенные в него механизмы вносят весомый вклад в стабильность системы. Также эксперты добавляют, что новшества этого решения требуют высокой квалификации злоумышленника для определения методов обхода. При создании KPP были использованы элементы обфускации с помощью макросов и другие антиотладочные приемы, которые препятствуют реконструкции кода, а также добавлены технологии, почти исключающие проведение статического анализа.
Добавить комментарий