微软代码完整性保护爆出CIGslip 0Day漏洞 容易制作win10银行木马

恶意软件作者可以利用Windows代码完整性保护(CIG)安全机制中的安全绕过漏洞,将恶意未签名的代码注入受CIG保护的应用程序中,目前微软并不认为这是个安全问题,是个0Day漏洞。CIGslip漏洞可以绕过微软对杀软的限制,更可以用于制作银行木马。

Windows代码完整性保护CIG是什么

这项名为CIGslip的技术影响了微软的Code Integrity Guard(CIG),这是微软在2015年推出Windows 10之后首次推出的安全系统。

CIG是设备保护的一部分,微软用这个机制在Windows 10操作系统加载驱动程序之后避免被篡改,微软将CIG技术应用到Edge浏览器,并允许软件开发商与部署CIG和他们自己的应用。

为支持CIG而开发的应用程序只会加载使用Microsoft或Windows Store证书签名的代码(DLL,二进制文件)。

CIG的主要好处是,即使用户的计算机受到感染,恶意软件也无法将恶意代码注入受CIG保护的应用程序。例如,银行木马将无法加载必要的代码,以便在Edge(一种受CIG保护的应用程序)中显示钓鱼页面。

CIGslip攻击绕过代码完整性防护保护

但MorphiSec安全研究人员今天透露,有一种方法可以绕过CIG检查,将恶意代码放入非CIG进,并从那里注入受CIG保护的应用程序。

有关CIGslip攻击的技术细节在MorphiSec的CIGslip 报告中有更详细的介绍。这里有一个视频演示。

http://blog.morphisec.com/new-method-to-bypass-microsoft-cig

视频:https://vimeo.com/258152990

预计CIGslip会出现银行木马和广告软件

Morphisec公司首席技术官兼研发副总裁Michael Gorelik说,CIGslip“如果流行起来就具有严重的破坏性潜力”。

银行木马可能是CIGslip泛滥的第一种形式,但这种攻击对广告软件开发人员来说同样有用,他们一直在寻找新的方法在合法网站上叠加广告。

但是Gorelik认为,该技术也可能被合法安全供应商滥用。原因在于,对于杀毒软件来检查基于浏览器的恶意软件,他们需要经过漫长的技术和法律程序,并让微软签署AV的DLL。CIGslip还允许黑客杀毒厂商绕过这个漫长而繁琐的过程。

微软通知,但补丁不会马上发布

MorphiSec已通知微软他们的调查结果,但尽管受到攻击的严重性,微软并未将CIGslip归类为安全问题。微软的bug奖励计划在这里解释了原因。

technet.microsoft.com/en-us/security/dn425049.aspx

这并不意味着微软不打算修复CIGslip,但仅限于它不会将修补程序作为“安全更新”的优先次序,而安全更新通常会获得更多的关注和紧急补丁,这是每月补丁周二安全更新的一部分。CIGslip补丁可能会在晚些时候发布。

发表评论