מתקפות סייבר
סייברארק חושפת מתקפה המנצלת מנגנון הגנה של אינטל
צוות מעבדות סייברארק יחשוף השבוע טכניקת מתקפה שגילה לאחרונה בשם BoundHook, המאפשרת לתוקפים לנצל את התכנון של מעבד אינטל MPX כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) על אפליקציות במוד-משתמש. זאת, כדי להריץ קוד מכל תהליך מבלי להתגלות על ידי תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה Windows 10, ובמכשירים עם מערכת הפעלה Os 64-bit. זוהי הטכניקה השנייה שמעבדות סייברארק חושפות לאחרונה ואשר משמשת לתקיפת פונקציות ב-windows.
הטכניקה הראשונה שנחשפה נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט למניעת מתקפות ברמת ה- kernel (כגון – PatchGuard שכבת הגנה של מיקרוסופט) ומשתמשת בגישת ה-hooking הזו כדי להשתלט על מכשירים בשכבת ה- kernel.
מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל שנבנה בדיוק על מנת למנוע מתקפות כאלה – באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לעשות הוקינג בצורה שלא ניתנת לגילוי כרגע. כלומר: תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט ואינטל.
מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות באמצעות גילוי מקרים חריגים של boundary exception (שהינם נפוצים במהלך מתקפת buffer overflow) – BoundHook משתמש ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקני Windows 10.
כתוצאה מכך, הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא, כולל AV, תוכנות Firewall אישיות, HIPS, ומוצרים רבים חדשים לאבטחת נקודות קצה הדור הבא (next-gen).
BoundHook הוא מחקר חדש מתוך סידרה של דוחות מחקר שביצעו מעבדות סייברארק (CyberArk Labs), הבודקים טכניקות של מתקפות סייבר אשר קורות בסביבות של "אחרי-פריצה ראשונית" כלומר: מצבים שבהם תוקף כבר פרץ לנקודת קצה בארגון. ההתמקדות של מעבדות סייברארק על טכניקות כאלה נובעת מהצורך להגביר את מודעות התעשייה להנחת העבודה, שתוקפים בעלי מוטיבציה יכולים, וגם יצליחו לעקוף את פתרונות אבטחת נקודת הקצה. ברגע שתוקף הצליח להשיג דריסת רגל, כל מה שיקרה כתוצאה מכך הינו קריטי לאבטחה של כל ארגון – תוקפים מכוונים לחשבונות פריבילגיים ואדמיניסטרטיביים, ומנצלים אותם לרעה, כיוון שחשבונות אלה מעניקים להם כוח עצום כגורמי פנים (insiders) אמינים ברשת.