CyberArk實(shí)驗(yàn)室的研究人員開發(fā)一種入侵后技術(shù)，將其命名為“BoundHook”，攻擊者可利用自英特爾第六代微處理器架構(gòu)Skylake以來推出的所有英特爾芯片MPX功能（內(nèi)存保護(hù)擴(kuò)展功能）Hook軟件組件之間傳遞的函數(shù)調(diào)用，這樣一來，攻擊者便可操控并監(jiān)控大量Windows應(yīng)用程序。借助這種技術(shù)，攻擊者可從任何進(jìn)程執(zhí)行代碼，躲避反病毒軟件以及其它安全檢測。

hook是Windows提供的一種消息處理機(jī)制,它使得程序員可以使用子過程來監(jiān)視系統(tǒng)消息,并在消息到達(dá)目標(biāo)過程前得到處理。

CyberArk的安全研究人員Kasif Dekel（卡瑟夫·德克爾）表示，利用Hook的軟件包括：

應(yīng)用程序安全解決方案；

系統(tǒng)實(shí)用程序；

編程工具；

惡意軟件等等。

Dekel表示，這種PoC攻擊的先決條件得有支持MPX（Skylake或此后的架構(gòu)）的英特爾CPU，同時(shí)還需運(yùn)行Windows 10（64位或32位）系統(tǒng)。此外，攻擊者還必須攻破目標(biāo)系統(tǒng)。

CyberArk資深安全研究員Doron Naim（多倫·納伊姆）表示，此類攻擊的精妙之處在于攻擊者可規(guī)避檢測。

研究人員周三發(fā)布技術(shù)報(bào)告解釋稱，BoundHook技術(shù)能在用戶模式下的指定內(nèi)存位置引起異常。接下來，該技術(shù)能捕捉異常，并控制特定應(yīng)用程序使用的線程執(zhí)行，例如，通過該技術(shù)可攔截Windows和特定服務(wù)之間傳遞的鍵盤事件消息，從而捕捉或操控受害者的擊鍵。

這種技術(shù)與GhostHook類似。GhostHook能通過英特爾Processor Trace功能繞過微軟Windows 10的PatchGuard內(nèi)核保護(hù)。GhostHook技術(shù)可繞過PatchGuard，通過Hook在內(nèi)核層面控制設(shè)備。

微軟和英特爾并不將GhostHook和BoundHook視為漏洞，他們均向CyberArk表示不會(huì)修復(fù)BoundHook問題，因?yàn)檫@類攻擊要求攻擊者完全攻破目標(biāo)系統(tǒng)。

Naim表示，國家黑客可能會(huì)利用此類攻擊。一些臭名昭著的針對(duì)性黑客入侵，例如Flame和Shamoon能輕易利用惡意軟件在設(shè)備和網(wǎng)絡(luò)上建立立足點(diǎn)，一旦有了立足點(diǎn)，攻擊者不輕易被察覺。

CyberArk在博文中表示，即使BoundHook不符合微軟界定漏洞的要求，他們也應(yīng)當(dāng)解決此類問題。

微軟回應(yīng)研究人員稱，其調(diào)查發(fā)現(xiàn)這并不是一個(gè)漏洞，而是設(shè)備被攻破時(shí)躲避檢測的一種技術(shù)。

CyberArk的研究人員表示，管理員應(yīng)當(dāng)限制賬號(hào)權(quán)限，最小化BoundHook攻擊的橫向滲透風(fēng)險(xiǎn)。

Naim指出，之所以發(fā)布這項(xiàng)研究成果有兩大目的：

其一是引起關(guān)注，以便微軟最終能解決這個(gè)問題。

其二，研究人員希望強(qiáng)化終端用戶保護(hù)管理員權(quán)限的意識(shí)，因?yàn)楣芾韱T權(quán)限受保護(hù)的情況下，用戶便不會(huì)遭受BoundHook攻擊。