87
Cyber​​Ark: Windows 10、Intelのプロセッサトレース機能によりルートキットの脆弱性

企業を標的とした攻撃の阻止を専門とするセキュリティ企業Cyber​​Arkは、Intelプロセッサのハードウェア機能を利用してWindows 10のカーネル保護「PatchGuard」を回避できるフック技術を発見しました。この技術は、コンピュータが既に感染した後でも、永続的なマルウェアを作成するために利用される可能性があります。

ゴーストフック

フック技術は、攻撃者がオペレーティングシステムまたはソフトウェアの動作を制御することを可能にします。オペレーティングシステムフックを使用するソフトウェアには、ソフトウェアセキュリティツール、システムユーティリティ、デバッグツール、悪意のあるソフトウェアなどがあります。

Cyber​​Arkによると、フック技術はソフトウェアを悪用したり権限を昇格したりするものではない。攻撃者はこれらの行為を別の手段で実行する必要がある。例えば、マルウェアが感染したコンピュータにルートキットをインストールすることで、永続性を確保しようとする。

サイバーアークは、悪意のある攻撃者がMicrosoftのPatchGuardカーネル保護を回避するために使用できるフック手法を「GhostHook」と名付けました。同社によると、この手法により、攻撃者はコンピュータ上で実行されているほぼすべてのコードをフックすることが可能になります。

インテルPTの障害

この問題は、Intel Processor Trace(IPT)によって発生するようです。IPTは、専用ハードウェアを使用してソフトウェア実行に関する情報をキャプチャするIntelアーキテクチャの拡張機能です。収集された情報はデータパケットとして処理され、ソフトウェアデコーダーによって処理されます。

パケットには、タイミング、プログラムフロー情報(例:分岐先、分岐成立/不成立)、プログラムに起因するモード関連情報(例:Intel TSXの状態遷移)などの情報が含まれます。パケットは、メモリサブシステムまたは他の出力機構に送信される前に、まず内部でバッファリングされる場合があります。その後、デバッグソフトウェアはデータを処理してプログラムフローを再構築します。

Broadwell世代のチップで導入され、Skylakeで拡張されたIntel PTは、SGXで保護されたコンテナを除く、CPU上で実行されるあらゆるソフトウェアを追跡できます。このテクノロジーは主に、パフォーマンス監視、コード診断、デバッグ、ファジング、マルウェア分析・検出に使用されます。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

しかし、攻撃者はこの技術を悪用してスレッドの実行を制御することもできます。その狙いは、CPUを悪意のあるコードに分岐させることです。その方法の一つは、Intel PTパケットに非常に小さなバッファを割り当てることです。CPUのバッファスペースが不足すると、CPUは「フック」を作成する悪意のあるコードにジャンプします。

短期的な解決策はない

この操作はWindowsオペレーティングシステムの下のハードウェアで実行されるため、「マイクロソフトがこの手法を検出して破るのは極めて困難」だとサイバーアークは述べている。

Cyber​​Ark への返信で、Microsoft は次のように述べています。

エンジニアリングチームはこの報告の分析を完了し、攻撃者が既にシステム上でカーネルコードを実行している必要があると判断しました。したがって、これはセキュリティ更新プログラムで対応するための基準を満たしていませんが、Windowsの将来のバージョンで修正される可能性があります。そのため、このケースをクローズしました。

Cyber​​Arkも述べているように、Microsoftは単純なアップデートではこの問題を簡単に修正できないことに気づいたのかもしれません。そのため、Microsoftは将来のWindowsバージョンでより高度なカーネル保護アーキテクチャが構築されるか、Intelが将来のチップ世代でこの種の攻撃を阻止する方法を見つけるまで、修正を延期した可能性があります。それまでは、Windows 10は、Windows DefenderなどのWindows保護を既に回避したマルウェアによって有効化されたルートキットに対して脆弱なままとなる可能性が高いでしょう。

GhostHookは、Intelプロセッサの機能がソフトウェアセキュリティの回避に利用された初めての事例ではありません。研究者らは最近、IntelのMEプロセッサとAMTテクノロジーが企業のコンピュータにマルウェアをリモートインストールするために利用される可能性があることも発見しました。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Deals
Posted by Lorlink