攻撃者が Windows システムに侵入した後にルートキットをインストールできるようにする Intel プロセッサのフック手法を最近発見したエンタープライズ セキュリティ企業の CyberArk が、今度は「BoundHook」と呼ばれる新しいフック手法を発見しました。
バウンドフックテクニック
フック技術は、オペレーティングシステムやソフトウェアの動作を制御することを可能にします。フックは、ソフトウェアセキュリティツール、システムユーティリティ、プログラミングツール、そしてルートキットなどの悪意のあるソフトウェアによって使用されます。
BoundHookはエクスプロイト技術ではないため、攻撃者はBoundHookの脆弱性を直接利用してシステムを乗っ取ることはできません。その代わりに、攻撃者はルートキットとしてシステムに常駐し、OSレベルのセキュリティ対策による駆除を回避することができます。ただし、その前に、攻撃者はユーザーのシステムに感染するための別の方法(メールの添付ファイル、悪意のある広告など)が必要になります。
技術的な詳細
BoundHook テクニックを使用すると、ユーザー モード コンテキスト内の特定の場所で例外 (特別な処理を必要とする異常な状態) を発生させ、その例外をキャッチしてスレッドの実行を制御することができます。
この例外は、Intelのメモリ保護拡張(MPX)の一部であるBOUND命令によって生成されます。この命令は、実行時にメモリ破損バグによって悪用される可能性のあるポインタ参照をチェックすることで、ソフトウェアのセキュリティを強化するように設計されています。
CyberArk の研究者らは、ほとんどのウイルス対策ソリューションでは、BoundHook 技術を攻撃者が使用した場合、それを具体的に探す必要があるためそれを検出できないと述べています (ただし、この研究が発表されたことで、状況が変わる可能性があります)。
この手法は、同様の理由から、ほとんどのWindows PatchGuardカーネル保護メカニズムにも検知されません。PatchGuard保護は、コピーオンライト(COW)メカニズムを回避するフックを具体的に探す必要があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マイクロソフトは脆弱性を修正しない(できない?)
マイクロソフトはサイバーアークに対し、この問題は現在のバージョンの Windows では対処しないが、将来のバージョンの Windows で修正することを検討すると語った。
この問題の調査を完了し、これは脆弱性ではなく、マシンが既に侵入された後に検出を回避するための手法であることが判明しました。これは事後的な攻撃手法であるため、セキュリティ更新プログラムで対応するための基準を満たしていませんが、将来のWindowsバージョンで修正することを検討します。
GhostHook の場合と同様に、Microsoft が単独で問題を完全に解決することはできない可能性があり、まずは Intel が問題を修正するか、ハードウェアで軽減するまで待たなければならない可能性があります。
