恶意攻击不限软体 骇客也利用硬体攻击电脑

资讯防护公司CyberArk的研究室，针对电脑攻击手法的研究，有了新的发现，这个攻击手法目前主要影响的设备为Windows 10的 64位元用户。

根据CyberArk研究室指出，他们目前尚未在Windows 10的64位元系统上，发现太多具危胁性的恶意程式、软体存在，而这必须归功于微软对64位元Windows操作系统的PatchGuard（内核修补防护）。

但现在他们却发现，名为GhostHook的攻击技术，能够透过Intel CPU处理器中内建的Intel Processor Trace（PT）功能来绕过PatchGuard的保护。

CyberArk表示，PT是藉由硬体撷取执行中的软体资讯，以便侦测恶意程式并协助去除；然而GhostHook利用减少程序缓冲区域，迫使核心开启PMI管理程序；而这时GhostHook便能利用PatchGuard无法控管PMI的漏洞，藉此进入电脑内部进行攻击。

据统计，目前全世界总计有超过4亿台的电子设备在Windows 10系统上运行，而GhostHook是首个可以绕过PatchGuard的攻击技术，能够让骇客针对Windows 10的64位系统进行全面控制。

值得注意的是，目前64位元系统中，恶意程式的总威胁量仅占当前恶意攻击的1%；而这1%中包括了“Shamoon“，还有先前感染沙特阿拉伯国家石油公司（沙特阿美）电脑的“Flame“，而这些可都是国家等级的间谍恶意程式。

对此，微软认为这种攻击手法，乃是建立在已经受到感染的电脑之上，才有可能对使用者产生侵害，而这并不符合他们安全更新系统内的服务范围；近期无法保证会有所动作，仅能允诺未来的Windows更新可能会对此进行处理。

CyberArk批评微软，没有意识到PatchGuard是不应该被绕过的安全防护。 

因为PatchGuard应该是透过系统本身的SSDT函数，对恶意攻击进行监控，而不是透过硬体（指Intel PT功能）执行防护。