Una técnica post intrusión llamada BoundHooking desarrollada por investigadores de CyberArk Labs permite a los atacantes explotar una característica en todos los chips Intel a partir de la arquitectura Skylake. La técnica del ataque permite ejecución de código desde cualquier proceso sin la detección del antivirus u otra medida, aseguran los investigadores.

De acuerdo a CyberArk, un ataque BoundHooking explota la característica de Intel llamada Memory Protection Extension (MPX) para atrapar llamadas a funciones que pasan entre componentes de software. Esto permite manipular y espiar una gran variedad de aplicaciones para Windows.

“El software que utiliza este método para interceptar incluye: soluciones de seguridad, utilerías del sistema, herramientas de programación, software malicioso entre otros”, dijo Kasif Dekel investigador de CyberArk.

Dekel dijo que el prerrequisito para su prueba de concepto es necesario contar con un CPU Intel (Skylake o superior) corriendo MPX actualmente con Windows 10 (32 o 64 bit). Además de haber comprometido por completo el equipo.

“La belleza de este tipo de ataques es que las acciones pueden ejecutarse sin ser detectadas,” dijo Doron Naim, investigador senior en CyberArk.

Los Investigadores dicen que la técnica BoundHooking, explicada en un reporte técnico divulgado el miércoles, es posible causar una excepción en una ubicación especifica de memoria en un contexto de modo usuario. Después, es capaz de interceptar la excepción y controlar la ejecución del hilo utilizado por esa aplicación especifica, por ejemplo, la técnica puede permitir la intercepción de un evento del teclado entre Windows y un servicio específico, permitiendo a un atacante capturar o manipular las pulsaciones del usuario.

La técnica es similar a la prueba de concepto explicada anteriormente este año por CyberArk llamada GhostHook. Esta técnica burlaba la protección PatchGuard de Microsoft en Windows 10 a través de la característica Processor Trace de Intel. La técnica GhostHook era diferente. Aquel método de ataque burlaba el intento de Microsoft de prevenir ataques a nivel de Kernel y utilizaba la aproximación del uso de hooking para tomar control de un dispositivo a nivel de Kernel.

Como fue el caso de GhostHook y también ahora con BoundHooking, Microsoft e Intel no lo ven como una vulnerabilidad de su parte. Ambos dijeron a CyberArk que no habrá parche porque se requiere que el atacante ya haya comprometido el sistema objetivo.

Naim dijo que tal ataque se encuentra en un ámbito nación-estado y que con algunos métodos de intrusión bien conocidos como Flame y Shamoon puede realizarse muy fácilmente malware para establecer el apoyo en máquinas o redes. Una vez que punto de apoyo es establecido, los atacantes pueden ir fácilmente sin ser notados.

Los investigadores de CyberArk creyeron que Microsoft arreglaría este tipo de vulnerabilidad. “Sabemos que BoundHooking no cumple con los requerimientos para ser considerado una vulnerabilidad por Microsoft, ya que los derechos administrativos de la máquina ya están comprometidos,” escribió la compañía en su blog.

En un mensaje de respuesta de Microsoft a los investigadores de CyberArk por su descubrimiento, “hemos realizado nuestra propia investigación sobre el asunto y hemos encontrado que no es una vulnerabilidad, más bien una técnica para evitar ser detectado una vez que la máquina ha sido comprometida.”