Actualités

Kernel Patch (Guard) Protection (KPP) : contournement du système sécuritaire via une vulnérabilité ciblant le noyau Windows !

Le chercheur sécuritaire Kento Oki vient de démontrer les effets pernicieux du KPP (Kernel Patch Protection) : alors que celui-ci est censé juguler toute menace extérieure à l’encontre du noyau (NT) Windows, en empêchant des mises à jour de ce dernier, il peut, également, être contourné ; ou plutôt les parties de code (pilote) non-signées…

 

 

Lorsque PsSetCreateProcessNotifyRoutine est appelée à partir d’un espace d’adressage du noyau non signé, PatchGuard interrompt immédiatement un ISR appelé KiRaiseSecurityCheckFailure, qui est une interruption logicielle, et génère une vérification de bogue 0x139 […] Dans le comportement d’appel système d’origine, la fonction contient le pointeur vers la fonction de rappel qui a été réellement transmise à PspSetCreateProcessNotifyRoutine et le contexte contient la valeur transmise en tant que Supprimer. Insérez le bloc de rappel dans le tableau avec ExCompareExchangeCallBack […] S’il peut être inséré dans un tableau, il incrémente la valeur d’un compteur appelé PspCreateProcessNotifyRoutineCount, qui est statique comme le tableau“, indique le billet du chercheur, le 22 Mai 2021.

En temps normal, KPP procède à une sorte de journalisation des erreurs ou évènements (création, suppression, crash…) liés au kernel Windows en les enregistrant dans différentes fonctions (PsSetCreateProcessNotifyRoutine, PsSetCreateProcessNotifyRoutineEx, PsSetCreateThreadNotifyRoutine et PsSetLoadImageNotifyRoutine est-il, entre-autres, cité) mais un exploit est potentiellement réalisable en évitant cette journalisation ou enregistrement chronique (sans appels-système), en faisant fi de DKOM (Direct Kernel Object Manipulation). De fil en aiguille, il est possible d’instiller du code malveillant au sein-même du noyau Windows.

 

Selon le webzine The Record et les propos relatés suite à l’envoi d’un mail à l’intéressé, la vulnérabilité n’a pas été rapporté à Microsoft du fait, principalement, que ce dernier, avait déjà refoulé le chercheur à trois reprises l’année dernière. Selon un autre chercheur cité par The Record (issu de Eclypsium : Jesse Michael), le PoC mis en lumière ne serait pas dangereux et provoquerait, dans le pire des cas, un écran bleu sous Windows 10. “Cela peut être utilisé lorsque le malware veut enregistrer une fonction de routine de rappel qui est mappée dans son adresse virtuelle de noyau de code non signé, ce qui n’est généralement pas possible du tout avec des moyens légitimes […] le malware doit déjà avoir le contrôle, mais cela ne signifie pas que ce contournement est inutile“, se défend Kento Oki… A veiller !

 

 

Source : Godeye – 22 Mai 2021 – KPP : PoC (contournement sans passer par les appels-objets).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0