Novo ataque CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard

8 de março de 2018 Marcello Kenobi informática, tecnologias 0

De acordo com informações recentes, criadores de malware agora podem explorar uma falha no mecanismo de segurança Windows Code Integrity Guard (CIG) para injetar códigos maliciosos em aplicações protegidas por ele.

Este mecanismo de segurança era considerado imune a este tipo de ataque até a descoberta da falha.

Novo ataque CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard

A técnica conhecida como CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard, que foi introduzido pela Microsoft com o lançamento do Windows 10 em 2015.

O CIG faz parte do Device Guard e a Microsoft usa este mecanismo de segurança para impedir alterações nos drivers carregados no Windows 10. A Microsoft depois expandiu o CIG para suportar o Microsoft Edge e agora também permite que desenvolvedores implementem o suporte para o CIG em suas próprias aplicações.

Uma aplicação criada para suportar o CIG só carregará código (DLLs e outros arquivos binários) assinado digitalmente com um certificado da Microsoft ou da Microsoft Store.

O principal benefício do Windows Code Integrity Guard é que mesmo se o computador do usuário for infectado por um malware, ele não poderá injetar códigos maliciosos nas aplicações protegidas.

Por exemplo, um trojan bancário não poderá carregar o código necessário para exibir as páginas falsas no Microsoft Edge, que é protegido pelo CIG.

Mestre Jedi Novo ataque CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard

O problema é que os pesquisadores de segurança da MorphiSec revelaram que existe uma maneira de burlar as verificações do CIG colocando o código malicioso dentro de um processo e injetando-o em uma aplicação protegida por ele a partir deste processo.

Os detalhes técnicos do ataque CIGslip podem ser encontrados no relatório da MorphiSec publicado aqui e um vídeo de demonstração pode ser visto aqui.

A Microsoft já foi notificada sobre a falha no mecanismo de segurança Windows Code Integrity Guard, mas uma correção ainda não tem data para ser disponibilizada.

‘Novo ataque CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard

O post Novo ataque CIGslip pode burlar o mecanismo de segurança Windows Code Integrity Guard apareceu primeiro em BABOO.

Artigo original:
www.baboo.com.br