מחקר סייברארק

סייבר ארק

מחקר חדש: ניצול לרעה של תכנון שבב של אינטל מאפשר לעשות Hooking לקוד של אפליקציות Windows 10

צוות מעבדות סייברארק יחשוף השבוע טכניקת מתקפה שגילה לאחרונה בשם BoundHook, המאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX (Memory Protection Extensions) כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במוד-משתמש, וזאת על מנת להריץ קוד מכל תהליך מבלי להתגלות על ידי תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה Windows 10, ובמכשירים עם מערכת הפעלה Os 64-bit. זוהי הטכניקה השנייה שמעבדות סייברארק חושפות לאחרונה ואשר משמשת לתקיפת פונקציות ב-windows.

הטכניקה הראשונה שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למנוע מתקפות ברמת ה- kernel (כגון - PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בשכבת ה- kernel.

מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל שנבנה בדיוק על מנת למנוע מתקפות כאלה – באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.

מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של boundary exception (שהינם נפוצים במהלך מתקפת buffer overflow) - BoundHook משתמש ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני Windows 10.

לטכניקת BoundHook יכולה להיות השפעה משמעותית מאוד על אבטחה ארגונית:

מעל 400 מיליון מכשירים משתמשים כיום ב-Windows 10 – על בסיס הנחת עבודה, שהארכיטקטורה של מערכת ההפעלה מונעת מתוקפים לעשות hooking ולהריץ קוד מתוך אפליקציות
כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא. זה כולל AV, תוכנות Firewall אישיות, HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא (next-gen).
זה יוביל בסופו של דבר לקומודיזציה של נוזקות 64-bit ו-32-bit מתוחכמות יותר – בהן משתמשות בד"כ מתקפות מתקדמות היזומות על ידי מדינות.

BoundHook הוא מחקר חדש מתוך סידרה של דוחות מחקר שביצעו מעבדות סייברארק (CyberArk Labs), הבודקים טכניקות של מתקפות סייבר אשר קורות בסביבות של "אחרי-פריצה ראשונית" כלומר: מצבים שבהם תוקף כבר פרץ לנקודת קצה בארגון. ההתמקדות של מעבדות סייברארק על טכניקות כאלה נובעת מהצורך להגביר את מודעות התעשייה להנחת העבודה, שתוקפים בעלי מוטיבציה יכולים, וגם יצליחו לעקוף את פתרונות אבטחת נקודת הקצה. ברגע שתוקף הצליח להשיג דריסת רגל, כל מה שיקרה כתוצאה מכך הינו קריטי לאבטחה של כל ארגון – תוקפים מכוונים לחשבונות פריבילגיים ואדמיניסטרטיביים, ומנצלים אותם לרעה, כיוון שחשבונות אלה מעניקים להם כוח עצום כגורמי פנים (insiders) אמינים ברשת.

כפי שראינו במתקפות רבות, אם ניתן למנוע מהתוקפים ומהנוזקה להתקדם מנקודת ההדבקה הראשונית אל תוך הרשת הארגונית, זה מה שיעשה את ההבדל בין טיפול במחשב אחד שנפרץ לבין מתקפה רחבת היקף וגניבת מידע.

ההבנה של מחזור חיי המתקפה ושל תנועת התוקפים בארגון הינה קריטית בחשיפת פרצות האבטחה שתוקפים מנצלים לרעה. באמצעות זיהוי של חולשות אלה, משתפרת יכולתה של סייברארק, וגם של כל תעשיית האבטחה, לפתח פתרונות שימנע ממתקפות סייבר לתפוס תאוצה.