Исследователи безопасности из компании CyberArk Labs описали новую кибератаку, эксплуатирующую функцию, реализованную во всех недавних процессорах Intel, — Memory Protection Extension (MPX).
Атака срабатывает только на системах на базе процессоров Intel микроархитектуры Skylake и новее с поддержкой функции MPX и под управлением Windows 10 — как 32-битных, так и 64-битных версий. Но самое важное в данном случае — это то, что для проведения атаки необходимо, чтобы злоумышленник уже полностью скомпрометировал атакуемую систему, то есть получил в ней администраторские права.
Атака позволяет вызывать исключение в конкретной области памяти в пользовательском контексте. Затем злоумышленник может перехватить исключение и получить контроль над выполнением потока, используемым конкретным приложением. Например, можно перехватить сигнал от клавиатуры, отправляемый Windows какой-либо службе, а далее — подменять все нажатия пользователем клавиш.
Ни Microsoft, ни Intel не рассматривают данную особенность как уязвимость
«Мы закончили свое исследование вопроса и пришли к выводу, что это не уязвимость, а способ избегнуть обнаружения уже после того, как машина скомпрометирована, — заявили в Microsoft. — Поскольку это методика, применимая только после эксплуатации, она не отвечает критериям уязвимости, подлежащей срочному исправлению, но мы рассмотрим возможность исправления ее в будущих версиях Windows».
В отсутствие патча Microsoft в CyberArk Labs рекомендуют системным администраторам насколько возможно ограничивать пользовательские привилегии в системах, которые могут стать объектами атаки, чтобы минимизировать вероятность успешной атаки.
«Эту атаку можно производить только после того, как система уже скомпрометирована и злоумышленник уже имеет права администратора. Поэтому очевидно, что для Microsoft исправление этой проблемы не в приоритете, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Однако исправить ее необходимо, поскольку она может стать еще одним вектором атаки на систему».