03 октября 2014
Уязвимость механизма защиты Windows 8.1
Экспертами исследовательского центра «Positive Research» проведен анализ безопасности защиты ключевых компонентов Windows 8.1 Kernel Patch Protection. Исследования отмечают ряд слабых мест, позволяющих нарушителям обойти механизмы защиты и обезвредить систему защиты.
При разработке Kernel Patch Protection были использованы элементы обфускации с помощью макросов и другие антиотладочные приемы, препятствующие реконструкции кода, а также внедрены технологии, затрудняющие проведение статического анализа.
В исследовании Марка Ермолова и Артема Шишкина приводится несколько сценариев, позволяющих нарушить защиту Kernel Patch Protection. Злоумышленник, обладающий достаточной квалификацией, может написать драйвер, который будет избирательно применять несколько техник и таким образом блокировать механизмы защиты. Это позволит осуществлять беспрепятственные модификации структур и кода ядра.
Эксперты Positive Research считают, что Kernel Patch Protection является перспективным инструментом защиты. Нововведения этого инструмента требуют все большей квалификации злоумышленника для определения методов обхода.
