|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
| Iceberg |
Ответить с цитатой | | |
|
Обнаружен способ захватить Windows при помощи лишнего пробела
Эксперт по информационной безопасности компании Tenable Дэвид Уэллс обнаружил способ обойти функцию контроля учетных записей в Windows (UAC).
UAC – это компонент Windows, запрашивающий подтверждение действий, требующих прав администратора, чтобы защитить компьютер от несанкционированного использования. Компонент ограничивает привилегии той или иной программы на уровне рядового пользователя до тех пор, пока администратор не позволит повысить привилегии.
У некоторых программ есть возможность автоматически повысить свои привилегии. Windows, чтобы предотвратить инциденты, проводит серию автоматических проверок, позволяя автоматически повышать привилегии только группе доверенных программ. У таких программ должна быть надлежащая цифровая подпись, гарантирующая подлинность. Помимо этого, они должны запускаться из проверенной папки, например, C:\Windows\System32.
Уэллс выяснил, что собственная система идентификации приложений Windows – appinfo.dll – использует для проверки API RtlPrefixUnicodeString д, начинается ли путь запускаемого приложения с C:\Windows\System32\. Специалист создал папку с названием C:\Windows \ (с пробелом после Windows). Стоит отметить, что просто так добавить пробел не получится – система не допустит такого названия. Кроме того, оно не пройдет проверку tlPrefixUnicodeString. Но при помощи API CreateDirectory, с добавлением последовательности символов \\?\ к началу удалось создать папку с некорректным названием, организовав внутри нее каталог System32 (C:\Windows \System32).
Уэллс скопировал в папку файл winSAT.exe – доверенное приложение, у которого есть разрешение на автоматическое повышение привилегий. После этого обнаружилось, что appinfo.dll конвертирует путь C:\Windows \System32\winSAT.exe в обычный C:\Windows\System32\winSAT.exe, и UAC, не реагируя на существование несанкционированного пробела. Все дополнительные проверки в дальнейшем пропускают путь с пробелом, а копия winSAT.exe, располагающаяся в некорректной папке, получает от appinfo.dll повышенные привилегии.
После этого специалисту удалось поместить в папку C:\Windows \System32\ фальшивый файл WINMM.dll, содержащий вредоносный код.
Напомним, недавно представители исследовательской компании Cymulate обнаружили новый способ заражения компьютеров.
источник |
|
|
|
|
|
|
![]()
John Doe
V.I.P. |
Зарегистрирован: 25.06.2010
Сообщений: 4332
|
Обратиться по нику
|
| John Doe |
Ответить с цитатой | | |
|
Человек багоюзер 80 лвл )
Как ему такое в голову вообще пришло? |
|
|
|
|
|
|
![]()
ceber
V.I.P. |
Зарегистрирован: 13.05.2010
Сообщений: 4290
|
Обратиться по нику
|
| ceber |
Ответить с цитатой | | |
|
Последнее время винда все лажает и лажает.
Что там у них, все норм ребята в гугл сбежали? |
|
|
|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
| Iceberg |
Ответить с цитатой | | |
|
| Цитата: |
Что там у них, все норм ребята в гугл сбежали?
|
А что работникам мелкомягких в гугле то делать?  |
|
|
|
|
|
|
![]()
Dreams
Опытный |
Зарегистрирован: 24.06.2016
Сообщений: 383
|
Обратиться по нику
|
| Dreams |
Ответить с цитатой | | |
|
| Iceberg писал(а): |
| Цитата: |
Что там у них, все норм ребята в гугл сбежали?
|
А что работникам мелкомягких в гугле то делать?
|
А что,там настолько плохо? и интерсно куда они сбежали?)) |
|
|
|
|
|
VPS c бесплатным 24/7 Администрированием |
![]()
Ingritt
Гуру |
Зарегистрирован: 09.07.2013
Сообщений: 1253
|
Обратиться по нику
|
| Ingritt |
Ответить с цитатой | | |
|
судя по последним сообщениям про винду - они не сбежали, а их принудительно увезли в калифорнийский лес |
|
|
|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
| Iceberg |
Ответить с цитатой | | |
|
| Цитата: |
а их принудительно увезли в калифорнийский лес
|
А лес потом сожгли, судя по новостям. |
|
|
|
|
|
|
![]()
Toulan
V.I.P. |
Зарегистрирован: 12.07.2012
Сообщений: 3172
|
Обратиться по нику
|
| Toulan |
Ответить с цитатой | | |
|
| Цитата: |
Как ему такое в голову вообще пришло?
|
Да не обязательно он специально выискал такой баг.
Мог как то и случайно проделать схожие манипуляции, а затем решил проверить этот вариант. |
|
|
|
|
|
|
![]()
Chak
Свой |
Зарегистрирован: 02.08.2018
Сообщений: 36
|
Обратиться по нику
|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
|
|
|
|
|
