Onderzoekers van securitybedrijf EnSilo hebben tijdens de BSides Las Vegas-conferentie laten zien hoe de kernelbeveiliging van Windows is te omzeilen en een aanvaller hoge rechten op een systeem kan krijgen (pdf). De techniek werkt volgens de onderzoekers waarschijnlijk ook tegen Linux en macOS.

Microsoft heeft verschillende beveiligingsmaatregelen aan de kernel toegevoegd die het lastiger moeten maken om een aanval uit te voeren. Onderzoekers Omri Misgav en Udi Yavo hebben echter een nieuwe manier gevonden waardoor een aanvaller die al toegang tot een systeem heeft de beveiligingsmaatregelen kan omzeilen om systeemrechten te krijgen, zo beschrijven ze in een blogposting.

Om de beveiligingsmaatregelen te omzeilen en rechten te verhogen manipuleren de onderzoekers de zogeheten "page tables". Dit is een datastructuur die besturingssystemen gebruiken om het virtuele naar het fysieke geheugen te mappen. Door de page tables op een bepaalde manier te manipuleren is het mogelijk om gedeelde codepagina's aan te passen waarmee alle processen in het systeem kunnen worden beïnvloed.

"De sleutel tot het succes van de techniek is het feit dat dezelfde code voor zowel lage als hoge processen op dezelfde plek in het RAM-geheugen is opgeslagen, in een poging om fysiek geheugen efficiënter te gebruiken", zegt onderzoeker Misgav. Door dit gedeelde geheugen te gebruiken kunnen de onderzoekers een proces met hogere rechten een kwaadaardige payload laten uitvoeren.

Een groot verschil met deze techniek en eerdere onderzoeken is dat de techniek ook werkt als de Virtualization Based Security (VBS) van Windows staat ingeschakeld. De onderzoekers stellen dat ze Microsoft voor hun presentatie over de techniek hebben ingelicht. Hieronder een opname van de presentatie.