נחשפה טכנולוגיית תקיפה לשבבי אינטל במכשירי Windows 10

מעבדות סייבר ארק (CyberArk Labs) חשפו היום (ד') יכולת לניצול לרעה של תכנון שבב של אינטל (Intel), אשר מאפשר פגיעה בקוד של אפליקציות Windows 10.

אנשי ענקית האבטחה הישראלית גילו באחרונה טכניקת מתקפה, בשם BoundHook, המאפשרת לתוקפים לנצל את התכנון של מעבד אינטל, MPX (ר"ת Memory Protection Extensions), כדי לפעול בשיטת hooking (שינוי התנהגות של מערכת ההפעלה) – על אפליקציות במוד-משתמש. זאת, על מנת להריץ קוד מכל תהליך – מבלי להתגלות על ידי תוכנות אנטי וירוס ואמצעי אבטחה אחרים במערכת ההפעלה Windows 10, ובמכשירים עם מערכת הפעלה Os 64-bit.

אודי מוקדי, מנכ"ל ויו"ר סייברארק. צילום: יח"צ

על פי חוקרי סייבר ארק, "מה שמרתק בטכניקת המתקפה הזו, היא שהיא ממנפת את התכנון עצמו של שבב אינטל, שנבנה בדיוק על מנת למנוע מתקפות כאלה. זאת, באמצעות שימוש ברכיב אינטל נגד עצמו. דווקא אותו פיתוח המשלב חומרה, הוא זה שמאפשר לשנות את התנהגות מערכת ההפעלה – בצורה שלא ניתנת לגילוי. כך, תוקפים שיעבדו בטכניקה זו יוכלו לעבוד מתחת לרדאר של מנגנוני ההגנה של מיקרוסופט (Microsoft) ואינטל".

הדור הבא של אבטחת נקודות קצה

מערכת Windows 10 משתמשת באינטל כדי לאבטח אפליקציות. זאת, באמצעות גילוי מקרים חריגים של boundary exception (שהינם נפוצים במהלך מתקפת buffer overflow) – BoundHook משתמש ב-boundary exception בתור האמצעי עצמו לספק לתוקפים שליטה על התקנים מבוססי Windows 10.

לטכניקת BoundHook, ציינו חוקרי סייבר ארק, עלולה להיות השפעה משמעותית מאוד על אבטחה ארגונית: יותר מ-400 מיליון מכשירים משתמשים כיום ב-Windows 10, על בסיס הנחת עבודה שהארכיטקטורה של מערכת ההפעלה מונעת מתוקפים לעשות hooking ולהריץ קוד מתוך אפליקציות

כתוצאה מכך, הסבירו, "הטכניקה תאפשר לתוקפים להתקדם מבלי שיבחינו בהם בשום אמצעי אבטחה שהוא. זה כולל תוכנות אנטי וירוס, תוכנות פיירוול אישיות, HIPS, ומוצרים רבים חדשים לדור הבא של אבטחת נקודות קצה".

מצב זה, ציינו, "יוביל בסופו של דבר לקומודיטיזציה (הצטרכנות) של נוזקות 64-bit מתוחכמות יותר – בהן משתמשים בדרך כלל האקרים שלוחי מדינות, המתאפיינים במתקפות מתקדמות.

זוהי הטכניקה השנייה שמעבדות סייברארק חושפות באחרונה, ואשר משמשת לתקיפת פונקציות בחלונות. הטכניקה הראשונה שנחשפה, נקראת GhostHook והיא עוקפת לגמרי את פעילותה של מיקרוסופט, למנוע מתקפות ברמת הגרעין (kernel) – כגון PatchGuard, שהיא שכבת ההגנה של מיקרוסופט. היא משתמשת בגישת ה-hooking הזו, כדי להשתלט על מכשירים בשכבת הגרעין.

גורם במיקרוסופט העולמית אמר כי "אופן הפעולה המתואר בדו"ח השיווקי אינו מייצג פגיעות אבטחה (Vulnerability) במערכת ההפעלה, אלא תקיפה במחשב שכבר התבצעה אליו חדירה (Compromised), ולאחר שהופץ אליו הקוד הזדוני – Post exploitation. אנו מעודדים לקוחות לשמור תמיד על המערכות שלהם מעודכנות להגנה הטובה ביותר".