Эксперты по кибербезопасности из компании enSilo открыли новый интересный способ атаки, которая позволяет обойти защиту ядра Windows, используя таблицы страниц этой ОС.
Новую атаку эксперты, по традиции звучно окрестили Turning Tables (непереводимый каламбур идиомы «получить преимущество в результате радикального изменения ситуации» и буквального значения ‘переворачивать таблицы»).
Таблицы страниц, на которые нацелена атака, представляют собой метод структурирования данных в ОС, который используется, чтобы хранить сопоставления между виртуальной и физической памятью. Виртуальные адреса при этом используются программами, выполняемыми ОС, а физические — аппаратными компонентами. Так как физическая память ограничена, ОС создают так называемые «общие кодовые страницы», где несколько процессов могут хранить один и тот же код и при необходимости обращаться к нему. Эти общие кодовые страницы и являются целью атаки.
Как описывают эксперты из enSilo, атака Turning Tables основана на разработке вредоносного кода, который через «общие кодовые страницы» вмешивается в выполнение других процессов. Таким образом хакеры могут повысить привилегии собственного внедренного кода до более высоких уровней, таких как SYSTEM. Исследователи отдельно отмечают, что атака Turning Tables также может использоваться для изменения приложений, работающих в режиме песочницы (к примеру, браузера Chrome).
Защиты от таких манипуляций пока нет. В настоящее время атака Turning Tables доказанно работает только для Windows. Теоретически macOS и Linux тоже могут быть уязвимы для подобной техники.
