Эксплуатация проблемы позволяет загружать вредоносный код в ядро операционной системы Windows.
«Уязвимость можно использовать для проведения атак. Вредоносная программа попытается зарегистрировать функцию процедуры обратного вызова, которая отображается в виртуальном адресе ядра с неподписанным кодом, что обычно невозможно достичь легитимными способами. В сценарии вредоносное ПО должно уже иметь повышенные привилегии, но это не означает, что обход бесполезен», — добавил Кенто.
За последние несколько лет эксперты обнаружили несколько способов обхода PatchGuard и изменений ядра с помощью неавторизованного кода. Такие методы, как GhostHook, InfinityHook и ByePg, были выявлены в 2017 и 2019 годах, и все они позволяют злоумышленникам взломать PatchGuard и подключиться к ядру через легитимную функцию, а затем изменить его внутреннюю структуру.
Однако, несмотря на аргументы специалистов, Microsoft все еще не считает обходы PatchGuard уязвимостями. Эксперты техногиганта называют их скорее банальными ошибками кода. Хотя Microsoft в конечном итоге исправила три обхода PatchGuard через несколько месяцев после публикации отчетов, даже спустя годы классификация обходов PatchGuard как не связанных с безопасностью имеет последствия. Например, исследователи перестали сообщать о подобных проблемах в рамках программы вознаграждения за обнаружение уязвимостей Microsoft.
Гравитация научных фактов сильнее, чем вы думаете