等保门户网: 测评整改

研究发现:CIGslip攻击能够绕过微软的代码完整性防护(CIG)

来源:admin 发布日期:2018-03-22

来自以色列安全公司Morphisec的研究员Michael GorelikAndrey Diment在本周三宣布,他们已经发现了一种被命名为“CIGslip”的新型攻击技术,可以绕过微软的代码完整性防护(Code Integrity GuardCIG)并将未签名的恶意代码加载到受保护的进程中,例如Microsoft Edge

CIG是微软在2015年推出Windows 10之后首个推出的安全机制,微软将它作为Edge浏览器安全缓解措施的一部分。

微软在其博客文章中写道:EdgeHTML 13开始,Microsoft Edge将通过阻止将DLL注入浏览器来保护用户的浏览体验,除非它们是Windows组件或已签名的设备驱动程序。微软签名的或WHQL签名的DLL将被允许加载,除此之外的所有其他文件将被阻止。

这种安全缓解措施的好处在于,它阻止了不需要的软件。例如,广告软件甚至恶意软件,试图通过将代码注入Edge浏览器以重定向流量或窃取信息。换句话来说,即使用户的计算机感染了恶意软件,它也无法将恶意代码注入受CIG保护的应用程序进程中。

Morphisec的两位研究员公布的CIGslip攻击技术则打破了CIG的保护机制,攻击者可以利用这项技术绕过CIG检查。

由于CIG机制日益普及,Morphisec决定对外公布他们的发现。因为这种攻击在系统上占用的空间非常小,几乎所有的安全机制无法将其发现,而现在没有谁能够证明这种漏洞没有遭到潜在攻击者的利用。

攻击者可以使用CIGslip将恶意软件或者广告软件插入到Edge浏览器。目前,由于CIG的使用,使得第三方安全厂商很难对Edge浏览器进行保护,因为他们的每一个DLL想要作用于受CIG保护的进程都首先需要取得微软的签名。

Morphisec表示,这种攻击的成功基于两个假设:一是,不受CIG的进程能够在系统上运行;二是,受CIG保护的进程可以执行不受CIG保护的进程。

简单来说,攻击者所要做的第一件事就是获得不受CIG保护的进程的控制权,然后将恶意代码注入到其中。以此作为跳板,最终才能够作用于受CIG保护的应用程序进程。

Morphisec向微软披露了漏洞细节和概念验证(PoC)码,以帮助解决这一漏洞。 而微软并未将CIGslip归类为安全问题,因为他们认为CIG能够阻止所有未签名的DLL不被加载,但表示会对这个漏洞进行修复。

来源:黑客视界

【关闭】 【打印】

您是第 47182999 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号