GhostHook, un nuevo ataque que supera la protección PatchGuard de Windows 10

Son tiempos duros para la seguridad informática. Cada poco tiempo estamos viendo cómo se descubren y se empiezan a explotar nuevas vulnerabilidades en todo el tipo de software que ponen en peligro los datos de los usuarios y, aunque los sistemas operativos, como Windows 10, cuentan con complejas medidas de seguridad para proteger a los usuarios de estos ataques, algunos son tan complejos y atacan a tan bajo nivel que no podemos hacer nada, y esto es lo que ocurre con GhostHook.

GhostHook es un nuevo ataque informáticos que se está llevando a cabo contra Windows 10 y que, a pesar de las medidas de seguridad y auto-protección de este sistema operativo, está teniendo bastante éxito. Para llevar a cabo este ataque informático, los piratas se aprovechan de una conocida vulnerabilidad en el componente PatchGuard del kernel de Windows, un componente presente en las versiones de 64 bits del sistema operativo para evitar que el núcleo del sistema operativo pueda parchearse con software no autorizado (como malware rootkit).

Este ataque informático es el primero que consigue evadir la seguridad de PatchGuard no aprovechando un fallo directo en este componente, sino haciéndolo a través de “Intel PT (Processor Trace)“, una función de los procesadores modernos que permite monitorizar los comandos y procesos de la CPU, aunque, por suerte, para poder explotarlo es necesario que el pirata esté físicamente en el equipo de manera que pueda ejecutar el código en él, no se puede ejecutar de forma remota ni con malware.

Cuando un pirata informático consigue explotar la vulnerabilidad del módulo PatchGuard de Windows 10, este podría ser capaz de instalar malware residente, o rootkit, en el propio núcleo de Windows, siendo así imposible de detectar para las soluciones antivirus corrientes, además de muy complicado de eliminar.

Microsoft no tiene intenciones de solucionar la vulnerabilidad de GhostHook en Windows 10, al menos de momento
Tal como han demostrado los expertos de seguridad, la vulnerabilidad es real y, aunque requiere acceso físico a la máquina, es incluso relativamente sencilla de explotar. Sin embargo, a Microsoft no le preocupa demasiado este fallo de seguridad y, según asegura, no tiene intenciones de solucionarlo a corto plazo.

Tal como asegura la compañía, para poder explotar esta vulnerabilidad, el atacante debe haber comprometido previamente todo el sistema operativo, por lo que, de permanecer seguro y no haber sido previamente expuesto a otras amenazas, el ataque no sería posible.

Mientras que Microsoft sigue recordando a los usuarios que deben tener cuidado en todos los sitios en los que hacen clic y todas las aplicaciones que descargan de la red, la empresa de seguridad CyberArk no ha quedado del todo contenta ya que, al ser una función del Kernel de Windows 10, además directamente relacionada con la seguridad, piensa que Microsoft debería prestarla más atención y solucionar el fallo que, aunque requiera que el sistema haya sido previamente expuesto, al menos esta medida de seguridad siga evitando el parcheo no autorizado del Kernel.

Ver información original al respecto en Fuente:
https://www.redeszone.net/2017/06/23/ghosthook-ataque-patchguard-kernel-windows-10/