Global Preloader
Vulnerabilidad
(19/Oct/2017) Ataque BoundHook dirigido a MPX de Intel Skylake

Ataque BoundHook dirigido a MPX de Intel Skylake

Una técnica post-intrusión desarrollada por investigadores de CyberArk Labs llamada BoundHooking permite a los atacantes explotar una función en todos los chips Intel introducidos desde Skylake. La técnica de ataque permite la ejecución de código de cualquier proceso sin detección por software antivirus u otras medidas de seguridad, dijeron los investigadores.

De acuerdo con CyberArk, un ataque de BoundHooking explota la función de Intel llamada Memory Protection Extension (MPX) para conectar llamadas de funciones que pasan entre los componentes de software. Eso permite que un adversario manipule y espíe una amplia gama de aplicaciones de Windows.

Dekel dijo que el requisito previo para su ataque de prueba de concepto es la presencia de una CPU Intel (Skylake o posterior) que ejecuta MPX al mismo tiempo que Windows 10 (64 bits o 32 bits). Los adversarios también deben haber comprometido completamente el sistema objetivo.

Los investigadores dijeron que la técnica BoundHook, explicada en un informe técnico publicado el miércoles, puede causar una excepción en una ubicación de memoria específica en un contexto de modo de usuario. A continuación, puede detectar la excepción y obtener control sobre la ejecución de subprocesos utilizada por una aplicación específica. Por ejemplo, la técnica podría permitir la intercepción de un mensaje de evento de teclado pasado entre Windows y un servicio específico, lo que permite a un atacante capturar o manipular las pulsaciones de una tecla de la víctima.

Los investigadores de CyberArk dijeron que creen que Microsoft debería abordar este tipo de vulnerabilidad. "Sabemos que BoundHook no cumple con el estándar de Microsoft para considerarse una vulnerabilidad, ya que los derechos de administrador de la máquina ya están comprometidos", escribió la compañía en su blog.

En un mensaje enviado a CyberArk por parte de Microsoft en respuesta a la revelación de los investigadores que escribió, "hemos concluido nuestra investigación sobre este problema y hemos descubierto que no es una vulnerabilidad, sino una técnica para evitar la detección una vez que la máquina ya está comprometida".

"Hay dos objetivos para publicar la investigación", dijo Naim. "El primero es llamar la atención sobre la técnica, por lo que Microsoft eventualmente solucionará el problema. En segundo lugar, para los usuarios finales, queremos reforzar la idea de la importancia de proteger los privilegios de administrador, ya que BoundHook no es un problema si los privilegios de administrador de un usuario están protegidos".