Функции Intel MPX, предотвращающие ошибки памяти, могут использоваться злоумышленниками для атак на Windows. К такому выводу пришли исследователи из CyberArk Labs, представившие метод атаки под названием BoundHook, позволяющий получить контроль над компьютерами под управлением 32- и 64-разрядных версий Windows 10.
В Windows 10 расширение набора инструкций Intel MPX используется для обеспечения безопасности приложений путем обнаружения граничных исключений, характерных для атак переполнения буфера. Метод BoundHook предполагает использование граничных исключений для получения контроля над устройством.
BoundHook позволяет перехватить приложение в режиме пользователя, выполнить код и получить контроль над компьютером под управлением Windows 10. Как пояснили исследователи, с его помощью злоумышленники теоретически могут обойти обнаружение антивирусными продуктами и другими решениями безопасности.
Эксперты связались с Microsoft, однако производитель не счел обнаруженную ими проблему опасной. В компании заявили, что метод может использоваться только после того, как система уже была скомпрометирована, и нет нужды выпускать патч.
«Описанная в этом маркетинговом отчете техника не воспроизводит уязвимость и может применяться только по отношению к уже взломанной машине. Мы призываем пользователей всегда обновлять свои системы для лучшей защиты», – сообщил представитель Microsoft изданию The Register.
Intel MPX (Memory Protection Extensions) – расширение набора инструкций для архитектуры x86/x86-64. С поддержкой со стороны компилятора, библиотек среды выполнения и операционной системы, расширение Intel MPX увеличивает безопасность программ по отношению к доступу к памяти, добавляя проверки доступа по указателям, в частности, для предотвращения атак, использующих переполнение буфера. MPX вводит новые регистры границ и несколько инструкций, обрабатывающих эти регистры.

Источник: securitylab.ru