АРМАДА
Обнаружен способ захватить Windows
Новая тема Написать ответ

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 6040
Обратиться по нику
# Добавлено:Ср Ноя 21, 2018 3:59 pmДобавить в избранноеОтветить с цитатой
Обнаружен способ захватить Windows при помощи лишнего пробела

Эксперт по информационной безопасности компании Tenable Дэвид Уэллс обнаружил способ обойти функцию контроля учетных записей в Windows (UAC).

UAC – это компонент Windows, запрашивающий подтверждение действий, требующих прав администратора, чтобы защитить компьютер от несанкционированного использования. Компонент ограничивает привилегии той или иной программы на уровне рядового пользователя до тех пор, пока администратор не позволит повысить привилегии.

У некоторых программ есть возможность автоматически повысить свои привилегии. Windows, чтобы предотвратить инциденты, проводит серию автоматических проверок, позволяя автоматически повышать привилегии только группе доверенных программ. У таких программ должна быть надлежащая цифровая подпись, гарантирующая подлинность. Помимо этого, они должны запускаться из проверенной папки, например, C:\Windows\System32.

Уэллс выяснил, что собственная система идентификации приложений Windows – appinfo.dll – использует для проверки API RtlPrefixUnicodeString д, начинается ли путь запускаемого приложения с C:\Windows\System32\. Специалист создал папку с названием C:\Windows \ (с пробелом после Windows). Стоит отметить, что просто так добавить пробел не получится – система не допустит такого названия. Кроме того, оно не пройдет проверку tlPrefixUnicodeString. Но при помощи API CreateDirectory, с добавлением последовательности символов \\?\ к началу удалось создать папку с некорректным названием, организовав внутри нее каталог System32 (C:\Windows \System32).

Уэллс скопировал в папку файл winSAT.exe – доверенное приложение, у которого есть разрешение на автоматическое повышение привилегий. После этого обнаружилось, что appinfo.dll конвертирует путь C:\Windows \System32\winSAT.exe в обычный C:\Windows\System32\winSAT.exe, и UAC, не реагируя на существование несанкционированного пробела. Все дополнительные проверки в дальнейшем пропускают путь с пробелом, а копия winSAT.exe, располагающаяся в некорректной папке, получает от appinfo.dll повышенные привилегии.

После этого специалисту удалось поместить в папку C:\Windows \System32\ фальшивый файл WINMM.dll, содержащий вредоносный код.

Напомним, недавно представители исследовательской компании Cymulate обнаружили новый способ заражения компьютеров.

источник

John Doe
V.I.P.
Зарегистрирован: 25.06.2010
Сообщений: 3128
Обратиться по нику
# Добавлено:Ср Ноя 21, 2018 6:09 pmОтветить с цитатой
Человек багоюзер 80 лвл )
Как ему такое в голову вообще пришло?

ceber
V.I.P.
Зарегистрирован: 13.05.2010
Сообщений: 2947
Обратиться по нику
# Добавлено:Ср Ноя 21, 2018 8:21 pmОтветить с цитатой
Последнее время винда все лажает и лажает.
Что там у них, все норм ребята в гугл сбежали?

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 6040
Обратиться по нику
# Добавлено:Чт Ноя 22, 2018 11:35 amОтветить с цитатой
Цитата:

Что там у них, все норм ребята в гугл сбежали?



А что работникам мелкомягких в гугле то делать? :nah:

Dreams
Опытный
Зарегистрирован: 24.06.2016
Сообщений: 383
Обратиться по нику
# Добавлено:Чт Ноя 22, 2018 4:51 pmОтветить с цитатой
Iceberg писал(а):
Цитата:

Что там у них, все норм ребята в гугл сбежали?



А что работникам мелкомягких в гугле то делать? :nah:



А что,там настолько плохо? и интерсно куда они сбежали?))
VPS c бесплатным 24/7 Администрированием

Ingritt
Гуру
Зарегистрирован: 09.07.2013
Сообщений: 1018
Обратиться по нику
# Добавлено:Чт Ноя 22, 2018 6:44 pmОтветить с цитатой
Цитата:

куда они сбежали



судя по последним сообщениям про винду - они не сбежали, а их принудительно увезли в калифорнийский лес

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 6040
Обратиться по нику
# Добавлено:Пт Ноя 23, 2018 4:13 pmОтветить с цитатой
Цитата:

а их принудительно увезли в калифорнийский лес



А лес потом сожгли, судя по новостям.

Toulan
V.I.P.
Зарегистрирован: 12.07.2012
Сообщений: 2012
Обратиться по нику
# Добавлено:Сб Ноя 24, 2018 5:51 pmОтветить с цитатой
Цитата:

Как ему такое в голову вообще пришло?



Да не обязательно он специально выискал такой баг.
Мог как то и случайно проделать схожие манипуляции, а затем решил проверить этот вариант.

Chak
Свой
Зарегистрирован: 02.08.2018
Сообщений: 36
Обратиться по нику
# Добавлено:Пн Ноя 26, 2018 1:41 pmОтветить с цитатой
Как вообще до такого дойти можно r5 r5 r5

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 6040
Обратиться по нику
# Добавлено:Пн Ноя 26, 2018 4:57 pmОтветить с цитатой
Цитата:

Как вообще до такого дойти можно



Путем проб и ошибок )
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры