นักวิจัยจาก CyberArk Labs ค้นพบเทคนิคการโจมตีใหม่ ที่ทำให้แฮ็กเกอร์สามารถหลบฟีเจอร์ความปลอดภัยของไมโครซอฟท์ที่ชื่อ PatchGuard เพื่อติดตั้งโค้ดอันตรายหรือรูทคิตบนเคอร์เนลของวินโดวส์ 10 ได้
PatchGuard หรืออีกชื่อหนึ่งคือ Kernel Patch Protection เป็นทูลในรูปของซอฟต์แวร์ที่ออกแบบมาเพื่อป้องกันไม่ให้โอเอสวินโดวส์ที่เป็นรุ่น 64 บิต ได้รับการแพทช์อย่างไม่ถูกต้อง โดยมีจุดมุ่งหมายเพื่อป้องกันแฮ็กเกอร์รันทูลคิต หรือโค้ดอันตรายที่ระดับเคอร์แนล
เทคนิคการโจมตีใหม่นี้ ทาง CyberArk Labs ตั้งชื่อว่า “GhostGook” ซึ่งนับเป็นเทคนิคแรกที่สามารถก้าวข้ามเทคโนโลยีป้องกันอย่าง PatchGuard ได้ แม้ว่าแฮ็กเกอร์จำเป็นต้องอยู่หน้าเครื่องที่จะโจมตีเพื่อรันโค้ดบนเคอร์แนลด้วยตัวเองก็ตาม นั่นคือ แฮ็กเกอร์จำเป็นต้องเจาะระบบ หรือใช้มัลแวร์เข้าควบคุมเครื่องเป้าหมายก่อน แล้วถึงจะใช้เทคนิค GhostHook เข้าแฝงตัวในระดับเคอร์เนลได้ เพื่อติดตั้งรูทคิทลงในเคอร์เนลอีกทอดหนึ่ง ซึ่งช่วยให้หลบการตรวจจับของซอฟต์แวร์แอนติไวรัสทั่วไปได้เป็นอย่างดี
GhostHook ใช้ประโยชน์จากฟีเจอร์ใหม่ของหน่วยประมวลผลจากอินเทลที่ชื่อ Intel PT หรือ Processor Trace ซึ่งปล่อยออกมาให้หลังจาก PatchGuard ไม่กี่เดือน ที่เปิดช่องให้ยิงข้อมูลจนเต็มบัฟเฟอร์ ทำให้ไม่สามารถแจ้งเตือนการรันโค้ดที่ผิดปกติได้ ทั้งนี้ทางไมโครซอฟท์แจ้ง CyberArk กลับ โดยเห็นว่าบั๊กนี้ไม่ได้ร้ายแรงจนต้องรีบออกแพทช์ในเร็วๆ นี้
ที่มา : http://thehackernews.com/2017/06/ghosthook-windows-10-hacking.html
