Säkerhetsfirman Brom Labs har upptäckt ett sätt att använda ett gammalt Windows-kärnutnyttjande för att kringgå populär anti-malware och annan säkerhetsprogramvara.

Metoden, som kallas Layer-Layer-attacker, tillåter hackare att kringgå flera säkerhetslager i ett fall, utan att någon är klokare.

Tekniken påverkar applikationssandlådor, antivirusprogram, rootkit detektorer, värdbaserade intrångsskyddssystem (HIPS), förbättrad övervakningsupplevelseverktygsutrustning (EMET) och förebyggande av övervakning av övervakningsledare (SMEP), även om de staplas på varandra. Utnyttjandet kommer antingen att inaktivera dem eller kringgå dem helt.

Attacken utnyttjar EPATHOBJ Windows-kärnans sårbarhet, som upptäcktes förra året och i stor utsträckning ignorerades.

Att utnyttja sårbarheten ger hackarsystembehörigheter, så att de kan stänga av eller på annat sätt störa säkerheten. Malware kan sedan köras fritt. Ännu värre än, hackern går obemärkt.

Kärnans integritet

Bromium kommer att presentera sina fynd på Infosecurity Europe och BSides London, med en demonstration av hur exploateringen fungerar.

Företaget konstaterar att även lagrade tillvägagångssätt för säkerhet, som förespråkas av många topp säkerhetspersonal, har svagheter. Det står att nästan alla slutpunktsteknologier är beroende av kärnans integritet.

"Medan många var medvetna om upptäckten av TDL4 rootkit som ryktes att använda kärnan exploit kod i slutet av förra året, fick några få det allvarlig uppmärksamhet. Och det var ett stort felbedömning", säger Rahul Kashyap, säkerhetschef Forskning vid brom.

"Vi diskuterar att sådana sårbarheter kan visa sig dödliga för företagssäkerhet och sannolikt går obemärkt under långa perioder. Genom att bara" tweaking "utnyttjandet fann vi att vi kunde kringgå alla olika lager säkerhetsprogram som ett företag skulle kunna distribuera på ett slutanvändarens maskin. "

Brom tror att det finns många fler dagars sårbarheter i de miljoner kodkodarna i Windows-kärnan.

  • Så här säkrar du Windows 8