2281 Letture
Possibile ritorno dei rootkit kernel mode in Windows 64 bit

Possibile ritorno dei rootkit kernel mode in Windows 64 bit

Le versioni di Windows a 64 bit usano, tra le altre, la tecnologia di difesa chiamata PatchGuard che consente di impedire sul nascere eventuali tentativi di modifica al kernel del sistema operativo. Un gruppo di ricercatori ha dimostrato che sulle macchine dotate di processore Intel, PatchGuard può essere scavalcata.

Alcuni ricercatori impegnati nel settore della sicurezza informatica hanno scoperto una vulnerabilità che rende possibile l'insediamento di componenti rootkit sui sistemi Windows a 64 bit. Il problema è legato alla tecnologia Processor Trace (IPT), che è integrata nei processori Intel e che permette di monitorare le informazioni relative al funzionamento dei software in esecuzione, principalmente per attività di debugging.

La nuova modalità di attacco, rilevata dagli esperti di CyberArk e battezzata GhostHook, permette di scavalcare la funzionalità PatchGuard di Windows, altrimenti nota come Kernel Patch Protection (KPP) e di installare un rootkit a basso livello provocandone il caricamento al boot del sistema operativo.

Possibile ritorno dei rootkit kernel mode in Windows 64 bit

La tecnologia PatchGuard è stata progettata e sviluppata con il preciso obiettivo di proteggere il kernel di Windows.
PatchGuard monitora in tempo reale alcune zone critiche del kernel, cercando di garantirne l’integrità del codice. Se dovesse essere intercettata una qualsiasi modifica ad una di queste zone critiche, PatchGuard si fa carico di "bloccare" immediatamente il sistema, visualizzando un Blue Screen Of Death (BSOD, la classica "schermata blu").

Grazie all'efficacia di PatchGuard, combinata con altre misure di difesa (DEP, Data Execution Prevention, e ASLR, Address Space Layout Randomization), i sistemi Windows a 64 bit hanno potuto godere di un livello di protezione molto maggiore, nei confronti dei rootkit "kernel mode" rispetto alle versioni di Windows a 32 bit (dove i rootkit "spopolavano" in passato…).


La scoperta dei tecnici di CyberArk rivoluziona però la situazione e mette in evidenza come i rootkit kernel mode possano tornare nelle versioni di Windows a 64 bit.


Come spiegano gli autori della ricerca, comunque, tutto parte da una "leggerezza" nella funzionalità IPT dei processori di casa Intel che, con ogni probabilità, sarà resa più solida in futuro.

Secondo CyberArk, Microsoft - informata del problema - avrebbe risposto che il problema non sarà oggetto di risoluzione nel breve termine. Non verrà quindi rilasciato un aggiornamento di sicurezza ma il tema sarà probabilmente trattato in una futura versione di Windows (leggasi un feature update come quello di settembre 2017, nel caso di Windows 10).