CIGslip 駭客技巧可讓駭客避開 Microsoft Code Integrity Guard 程式碼完整性保護機制

 

資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。

CIG 如何運作?

CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。

[資訊安全指南:如何防範網頁注入]

CIGslip 如何避開 CIG 機制?

這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。

[資訊安全指南:網域監控 — 偵測網路釣魚攻擊]

衝擊層面有多大?

根據研究人員指出,銀行木馬程式可利用 CIGslip 來載入網路釣魚內容。此外,駭客也可使用 CIGslip 來散布廣告程式或其他經由網頁瀏覽器散布的威脅,例如資訊竊取程式。而一些會將詐騙內容覆蓋在正常廣告上的網路銀行惡意程式也是這類威脅之一。

CIGslip 的問題獲得解決了嗎?

資安研究人員已經將其發現通報給 Microsoft,但 Microsoft 認為 CIGslip「不屬於 CIG 涵蓋的範圍」,不過 Microsoft未來仍會透過修補更新的方式解決此問題。

如何藉由安全的開發營運 (DevOps) 來解決此問題?

根據趨勢科技預測,資安漏洞和弱點未來將成為網路犯罪集團入侵企業系統和應用程式的主要方式。事實上,一些用來部署和執行應用程式的容器式環境有高達三分之一都含有已知漏洞或資安弱點。儘管現在 Microsoft 已經讓應用程式開發人員可在其應用程式開發介面 (API) 當中導入 CIG,但駭客仍有辦法透過像 CIGslip 這樣的技巧來將應用程式木馬化,或者利用它來載入惡意程式碼。

企業機構,尤其是自行開發軟體或客製化應用程式的機構,可透過程式設計和多階段方式來管理、保護自己的程式,也就是從應用程式開發生命週期的所有階段著手,從規劃、開發到監控,甚至要保護其賴以執行的基礎架構或環境,這樣在部署和使用上才具備擴充性。

 

原文出處:CIGslip Technique Can Let Hackers Bypass Microsoft’s Code Integrity Guard