GhostHook peut contourner les protections PatchGuard de Windows 10

Les vulnérabilités découvertes dans le noyau de protection du PatchGuard de Microsoft pourraient permettre aux pirates de planter des rootkits sur les ordinateurs exécutant le système d’exploitation le plus récent et le plus sécurisé du géant de l’informatique, Windows 10.

Que sait-on de GhostHook ?

Les chercheurs de CyberArk Labs ont développé une nouvelle technique d’attaque qui pourrait permettre aux pirates de contourner complètement PatchGuard et d’accrocher un code noyau malveillant (rootkits) au niveau du noyau. PatchGuard est un logiciel qui a été conçu pour empêcher le noyau des versions 64 bits du système d’exploitation Windows d’être corrigé, empêchant les pirates d’exécuter des rootkits ou de lancer un code malveillant au niveau du noyau.

Cité par GhostHook, cette vulnérabilité est ce que les chercheurs de CyberArk Labs appellent la première technique d’attaque qui freine la technologie défensive pour contourner PatchGuard, même si elle exige qu’un pirate informatique soit déjà présent sur un système compromis et en cours d’exécution dans le noyau. GhostHook n’est ni une élévation ni une technique d’exploitation. Cette technique est destinée à un scénario post-exploitation où l’attaquant maîtrise l’actif », ont déclaré les chercheurs de CyberArk. Et d’ajouter : « Étant donné que le code noyau malveillant cherche souvent à établir une persistance dans un territoire hostile, la technologie furtive joue un rôle fondamental ».

Pourquoi Microsoft doit-elle prendre la menace au sérieux ?

Un scénario d’attaque inclurait d’abord l’utilisation d’un exploit de piratage ou de logiciels malveillants pour compromettre une machine cible, puis déployer GhostHook pour configurer une présence permanente et secrète sur un ordinateur infecté sous Windows 10 64 bits. Une fois compromis, un hacker peut planter un rootkit dans le noyau de la machine compromise, qui serait totalement indétectable par les antivirus et les produits de sécurité tiers et invisible pour le PatchGuard de Microsoft lui-même.

Malgré tout cela, Microsoft ne considère pas GhostHook comme une menace sérieuse et a déclaré qu’elle ne pense pas qu’un correctif est nécessaire et urgent. CyberArk a été déçu par la réponse de Microsoft et affirme que le géant informatique devrait se rendre compte que PatchGuard est un composant du Noyau qui, en tout cas, ne devrait pas être contourné.