Beveiligingsbedrijf Bromium Labs heeft een manier ontdekt om een ​​oude Windows-kernel-exploit te gebruiken om populaire anti-malware en andere beveiligingssoftware te omzeilen.

De methode, bekend onder de naam Layer on Layer (LOL) -aanvallen, stelt hackers in staat om meerdere beveiligingslagen in één klap te omzeilen, zonder dat iemand de wijzer is.

De techniek beïnvloedt toepassingssandboxen, antivirussoftware, rootkit-detectoren, host-gebaseerde inbraakpreventiesystemen (HIPS), Enhanced Mitigation Experience Toolkit (EMET) en Supervisor Mode Execution Prevention (SMEP), zelfs als ze op elkaar worden gestapeld. De exploit zal ze uitschakelen of volledig omzeilen.

De aanval maakt gebruik van de EPATHOBJ Windows-kernel-kwetsbaarheid, die vorig jaar werd ontdekt en grotendeels werd genegeerd.

Het misbruik maken van het beveiligingslek geeft de rechten van een hacker-systeem, waardoor ze de beveiliging kunnen uitschakelen of anderszins kunnen onderbreken. Malware kan dan vrij worden gebruikt. Erger nog, de hacker blijft onopgemerkt.

Kernel integriteit

Bromium zal zijn bevindingen presenteren bij Infosecurity Europe en BSides London, met een demonstratie van hoe de exploit werkt.

Het bedrijf stelt dat zelfs gelaagde benaderingen van beveiliging, aanbevolen door vele topbeveiligingsprofessionals, zwakke punten hebben. Het zegt dat vrijwel alle eindpunttechnologieën afhankelijk zijn van de integriteit van de kernel.

"Hoewel velen op de hoogte waren van de ontdekking van de TDL4-rootkit die volgens geruchten de kernel-exploitscode eind vorig jaar gebruikte, besteedden weinigen er serieuze aandacht aan. En dat was een enorme beoordelingsfout," zei Rahul Kashyap, hoofd beveiliging Onderzoek bij Bromium.

"We bespreken dat dergelijke kwetsbaarheden dodelijk kunnen zijn voor de beveiliging van bedrijven en waarschijnlijk gedurende lange tijd onopgemerkt blijven. Door de exploit simpelweg te 'tweaken', ontdekten we dat we alle verschillende lagen beveiligingssoftware konden omzeilen die een onderneming op een eindgebruikersmachine. "

Bromium is van mening dat er veel meer zero-day-kwetsbaarheden bestaan ​​in de miljoenen regels code in de Windows-kernel.

  • Hoe Windows 8 te beveiligen