示意图,与新闻事件无关。
资安业者CyberArk Labs本周发表一新的新的GhostHook攻击技术,宣称可绕过微软对64位元Windows作业系统的PatchGuard保护,并植入Rootkit程式,但微软并不认为这是个安全漏洞,仅说以后若有机会再修补。
PatchGuard的正式名称为Kernel Patch Protection,是微软在2005年针对64位元Windows版本所开发的安全机制,目的是为了防止第三方程式修补或变更Windows核心,事实上,PatchGuard的确让64位元的Windows作业系统更加安全,据估计,所有的Windows恶意程式中,可开採64位元的比例佔不到1%。
根据CyberArk的描述,GhostHook主要是利用了英特尔处理器所内建的Intel Processor Trace(PT)功能来绕过PatchGuard的保护。
PT可藉由硬体撷取正在执行的软体资讯,以便侦测恶意程式并协助除错,而GhostHook则在PT封包的处理程序中配置了非常少的缓冲区域,导致处理器的缓冲不足而必须开启PMI管理程序(PMI handler)来管理过载的程式。有鉴于PatchGuard无法监控PMI管理程序,而让GhostHook可藉由此一PMI变更Windows核心。
CyberArk表示,如此一来,GhostHook即能在64位元的Windows上植入各种Rookit,包括Windows 10在内。
不过,如同CyberArk所描述的,GhostHook属于后攻击(post-exploitation)场景,主要用于骇客已入侵系统之后,于Windows核心中植入Rookit只是为了建立既有恶意程式的永久存在能力。
微软的看法也是如此。微软表示,经过工程团队的分析后,GhostHook主要应用在骇客已经可于系统上执行核心程式之后,并不符合微软的安全更新门槛,也许会在未来的Windows版本中修正。
I 相关 / Other
Windows PC 比以往任何时候都更酷 微软是如何做到的? [快讯]
BI中文站6月23日报道WindowsPC正处于某种复兴时期。像华硕、雷蛇、惠普和戴尔这样的PC制造商都已经开始行动起来,推出了很多功能超级强大或者外形怪异的个人电脑。像Eve这样的小公司也为用户们推出了专业级设备。甚至
新华社东京6月23日电(记者华义)日本研究人员最新报告说,他们研发的一种新技术能通过分析蚊子吸食的血液识别出血液来自谁及推断吸血时间,并在48小时内识别出罪犯的个人信息。日本名古屋大学和埼玉医科大学等
打击WannaCry,Windows 10秋季更新将移除SMB v1
示意图,与新闻事件无关。 图片来源: Microsoft 为了打击蔓延广大的WannaCry,微软宣布预定今年秋天释出,代号为Redstone 3的下一个Windows 10更新,将移除SMB v1协定。?微软是在本周经由Windows Insider通路释出版
周四(6月22日)金价上扬,在淡静交投中连续两日延续从五周低位反弹的势头。美元持稳和技术上的回调支撑金价回升。现货金上扬0.3%,报每盎司1,249.17美元。昨日一度触及五周低位1,240.75美元,后反弹上扬0.3%。美国8月
【印度5年内4次射烈火5导弹技术却已落后中国40年】印度拥有大国之梦,自然对军备建设相当大方,不仅投入重金对外采购,也积极组织自主研发,尤其是买不到的东西,比如:弹道导弹。1982年时,印度提出综合制导导弹发展