Tấn công GhostHook “vượt mặt” cơ chế bảo vệ của Windows 10

Lỗ hổng mới được phát hiện trong Microsoft PatchGuard cho phép tin tặc thiết đặt rootkit trên thiết bị Windows 10 phiên bản mới nhất.

Các nhà nghiên cứu tại CyberArk Labs đã phát triển một kĩ thuật tấn công mới cho phép tin tặc vượt mặt hoàn toàn PatchGuard và đưa mã độc vào thành phần lõi (rootkit). PatchGuard hay Kernel Patch Protection là một công cụ phần mềm được thiết kế giúp bảo vệ thành phần lõi của Windows 64-bit.

Tấn công mới có tên GhostHook đòi hỏi tin tặc phải có mặt trực tiếp trên thiết bị. Kịch bản tấn công bao gồm việc khai thác, xâm nhập vào thiết bị sau đó triển khai GhostHook giúp mã độc tồn tại bí mật trong thiết bị. Các phần mềm diệt virus và sản phẩm bảo mật không thể phát hiện ra mã độc này.

Tấn công GhostHook lợi dụng một điểm yếm trong cài đặt của Microsoft liên quan đến tính năng mới của bộ vi xử lý Intel Processor Trace (PT). Intel PT cho phép nhà cung cấp dịch vụ theo dõi và lần theo các lệnh được thực thi trong CPU nhằm ngăn chặn tấn công khai thác, mã độc trước khi chúng tiếp cận hệ điều hành.

Microsoft không coi GhostHook là một mối đe dọa nghiệm trọng và sẽ không có bản cập nhật nào được phát hành. Trong phát biểu của mình Microsoft cho biết: “Kĩ thuật này đòi hỏi tin tặc toàn quyền xâm nhập vào thiết bị. Chúng tôi khuyến cáo khách hàng nên có thói quen tốt trong khi sử dụng máy tính trực tuyến bao gồm việc không nhấn vào đường dẫn độc hại, không mở tệp tin đáng ngờ hoặc đồng ý truyền tải tệp tin qua mạng.”

THN

 

Bình luận

Từ khóa: