Investigadores de seguridad cibernética en CyberArk descubrieron la existencia de una técnica de ataque que es capaz de pasar por encima de Windows PatchGuard, una de las más importantes características de seguridad de Windows en 64 bits. PatchGuard tiene la misión de evitar que el kernel de Windows sea “parchado” con códigos de terceros. Esto ha protegido efectivamente el sistema contra la instalación de “rootkits”.
Pero existe una nueva manera, que se ha llamado “GhostHook”. Esta técnica funciona en sistemas que previamente han sido vulnerados, por lo que se le conoce como una técnica de “post-explotación” (funciona cuando ya se ha aprovechado una vulnerabilidad). Además, sólo funciona en los sistemas que ejecutan la característica Processor Trace de Intel, que sirve como soporte para depuración y despistaje de código malicioso.
El nombre “GhostHook” hace mención a la capacidad que le da a los hackers para engancharse a cualquier pieza de código que se ejecute en la máquina. Es capaz de funcionar sin ser detectada por PatchGuard, incluso en sistemas con Windows 10, que se consideraban impenetrables.
Microsoft, por su parte, no pretende tratar este problema como un fallo de de seguridad, al considerar que los ataques tienen lugar en sistemas que previamente habían estado comprometidos. La empresa se limitó a un exhorto para que sus usuarios tengan buenos hábitos al trabajar en línea, en particular al ingresar a páginas web o aceptar enlaces y archivos de procedencia dudosa. La respuesta de Redmond es “problemática” y “equivocada”, en opinión de CyberArk, ya que muchos usuarios confían en las herramientas de seguridad de Microsoft, y esta técnica es capaz de pasar sin ser notada por dichas herramientas.
Aún no se han observado ataques cibernéticos que se basen en GhostHook, pero no se descarta que ya se halle en uso. En particular, es bastante probable que haya hackers con patrocinio gubernamental aprovechando las vulnerabilidades descritas para llevar a cabo diversos ataques, dada la recurrente ola de hackeos conducidas por diversos gobiernos.
