資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。
CIG 如何運作?
CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。
[資訊安全指南:如何防範網頁注入]
CIGslip 如何避開 CIG 機制?
這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。 繼續閱讀