Vulnerabilità in PatchGuard

25/11/2019

ByePG exploit PatchGuard Vulnerabilità

 

Recentemente, il ricercatore Can Bölük ha pubblicato un codice PoC per una vulnerabilità nella funzionalità di sicurezza Microsoft Kernel Patch Protection (KPP), meglio nota come PatchGuard.

PatchGuard, è una funzionalità delle versioni a 64 bit di Windows che fornisce protezione contro modifiche non autorizzate del kernel del sistema operativo da parte di codice dannoso.

La tecnica di bypass, denominata ByePG, consente di manomettere HalPrivateDispatchTable per consentire a un’applicazione fraudolenta di modificare il kernel. ByePG, inoltre è considerato più pericoloso rispetto ad altri, perché può bypassare sia PatchGuard che la funzionalità HVCI (Hypervisor-Protected Code Integrity), una funzionalità che consente a Microsoft di inserire nella blacklist i driver non validi sui dispositivi degli utenti.

Conclusioni

Non è la prima volta che viene individuata una vulnerabilità in PatchGuard, come per le altre vulnerabilità riscontrate Microsoft ha confermato – come riporta zdnet – che questo tipo di exploit richiedono privilegi di amministratore per funzionare e quindi non può essere classificato come problema di sicurezza, poichè – ha affermato Microsoft – una volta che un utente malintenzionato ha accesso a un sistema locale con diritti di amministratore, può eseguire qualsiasi operazione desideri.