CyberArk、Windows OSのPatchGuardをバイパスするテクニックを発見

  • 元記事:CyberArk Labs Identifies “GhostHook” Technique That Bypasses PatchGuard in Windows OS
  • HP:CyberArk
  • 発表日時 2017/6/22

    Windows OSのPatchGuardをバイパスするテクニックをCyberArkが発見し、この新手法に関する詳細を公開した。
    Windows 10 64ビット版のrootkitでPatchGuardが成功した例は今まで確認されていない。今回PatchGuardがバイパスされた手法はGhostHookと呼ばれる。現在4億台のWindows 10端末が世界中に存在するが、攻撃者にPatchGuardが迂回されると、64ビットシステムがカーネルレベルで完全制御される恐れがある。攻撃者は簡単にカーネルにrootkit を埋めることが可能で、完全にセキュリティソリューションから検知不可能にできる。この攻撃により国家を狙うAPT攻撃に使用されるような64ビットのマルウェアの増殖を招く恐れがある。現在は64ビットマルウェアは1%以下となっている。
    これに対し、マイクロソフトの調査ではこの攻撃はシステム上でカーネルコードを既に運用している必要があるため、セキュリティアップデートの提供には現時点では至らないとしている。