Vad är kernel patch protection

Nyligen upptäckte Kaspersky en färsk trojan som bygger vid trojanen Banker. Den verkar enbart rikta in sig på bankkunder i Brazilien, men jag tyckte den var så intressant således jag ville blogga angående vilka tekniker den använde för att lura slutanvändarna.

Trojanen utnyttjar ett säkerhetshål inom gammal Java Runtime Environment (JRE). Den möjliggör ett så kallad drive-by-download, dvs det räcker att man besöker en webbsida tillsammans med en elak Javaapplet till att man ska erhålla trojanen installerad. Flera populära brazilianska webbsidor hade hackats och fått denna applet installerad på sina webbservrar, så tipset “undvik misstänkta sidor” hade inte hjälpt.

Följande filer packades upp från trojanen:

Med hjälp av reg-filen slår man av User Account Control (UAC) samt installerar ett fulcertifikat inom Trusted Root Certificate Store, dvs det anses såsom fullt betrott av datorn.

Trojanen fungerar även på bitars Windows. Men bitars fönster är normalt skyddat tillsammans med PachGuard (eller Kernel Patch Protection som

Kernel Patch Protection (KPP), informally known as PatchGuard, is a feature of bit editions of Microsoft Windows that prevents patching the kernel. It was first introduced in with the x64 editions of Windows XP and Windows Server Service Pack 1. 1 2 What you mentioned “Kernel Patch Protection”, did you mean Kernel DMA Protection as shown in the figure below? If so, you can turn it on in Windows Security. Sometimes, enabling DMA may fail due to incompatible drivers, you can visit Why do incompatible drivers prevent using Memory integrity?. 3 4 Kernel DMA Protection is a Windows security feature that protects against external peripherals from gaining unauthorized access to memory. PCIe hot plug devices such as Thunderbolt, USB4, and CFexpress allow users to attach classes of external peripherals, including graphics cards, to their devices with the plug-and-play ease of USB. 5 A new feature has been added to the setting located in System\Device Guard\Turn On Virtualization Based Security called Kernel Mode Hardware Enforced Stack Protection. This new setting is applicable to Windows 11, version 22H2 and above, and provides additional security enhancement for kernel code. 6 This session will look at a critical flaw in the design of Windows Kernel Patch Protection (PatchGuard), a system used to prevent modification to kernel code and other critical structure. The design of PatchGuard will be discussed, along with the design of an attack which uses the flaw in PatchGuard to disable the PatchGuard response entirely. 7 8 Kernel Patch Protection, informellt känt som PatchGuard, är en funktion i bitarsversioner av Microsoft Windows som förhindrar patchning av kärnan. 9 Microsoft's May Patch Tuesday includes fixes for 38 security vulnerabilities, including a zero-day bug under active exploitation. 10

Microsoft Security Advisory

Säkerhetsrådgivning

Uppdatera till att förbättra Kernel Patch Protection

Publicerad: 13 juni

En uppdatering är tillgänglig på grund av Kernel-korrigeringsskydd som ingår inom Xbaserade Windows-operativsystem. Kernel-korrigeringsskydd skyddar kod och kritiska strukturer i Windows-kerneln från förändring av okänd kod alternativt data. Den här uppdateringen lägger till ytterligare kontroller i det här skyddet för ökad tillförlitlighet, prestanda och säkerhet. Mer data om den här utgåvan finns i Microsoft Knowledge Base-artikeln Vi rekommenderar för att kunder som kör xbaserade Windows-operativsystem installerar den denna plats uppdateringen. Mer information ifall kernelkorrigeringsskydd finns på nästa Microsoft-webbplats. Mer information ifall uppdateringarna som ingår inom den här versionen finns i Microsoft Knowledge Base-artikeln

Allmän information

Översikt

Syfte med rådgivning: Att meddela tillgängligheten på grund av och för att klargöra syftet med en uppdatering för kernel-korr