6月22日(米国時間)、Threatpostに掲載された記事「GhostHook Attack Bypasses Windows 10 PatchGuard |Threatpost|The first stop for security news」が、セキュリティファームCyberArkの研究者がWindows 10のセキュリティ機能であるPatchGuardを回避する方法を発見したと伝えた。この回避手法は「GhostHook」と呼ばれている。GhostHookがただちに重大なサイバー攻撃に結びつくとは考えにくいが、今後攻撃に悪用される可能性がある。
Windows 10のカーネルにはさまざまなセキュリティ機能が搭載されている。特にWindows 10カーネルにPatchGuardとDeviceGuardが搭載されてから、64ビット版のWindows 10を対象としたルートキットはほとんど存在していないとされており、これらセキュリティ機能が有効に機能していると言われている。
今回発見されたPatchGuardの回避機能はIntelプロセッサに搭載されているProcessor Trace(Intel PT)という機能を利用している。攻撃者がこの回避機能を利用しようとした場合、すでに対象のWindows 10に侵入している必要があり、かつ、カーネルでコードが実行されている必要がある。このため、ただちにこの回避方法がサイバー攻撃に使われるとは考えにくいという。Microsoftはこの回避方法を脆弱性として修正するとは考えにくいが、将来のアップデートで何らかの対策を取り込む可能性があるとしている。