Безопасность — странный предмет

Уязвимые

добавить в избранное

Безопасность — странный предмет

Прочитали: 7539 Комментариев: 78 Рейтинг: 289

31 октября 2016

В выпусках проекта «Антивирусная правДА!» мы неоднократно рекомендовали при работе с различными устройствами использовать пониженные права и одновременно предупреждали, что не стоит безоговорочно верить маркетологам, расхваливающим ту или иную технологию.

Исследователи Мэтт Гребер (Matt Graeber) и Мэтт Нелсон (Matt Nelson) обнаружили новый способ обхода функции Контроля учетных записей в Windows, предназначенной для предотвращения несанкционированных изменений в компьютере.

Проанализировав ряд установленных по умолчанию задач в планировщике Windows 10, исследователи выяснили, что один из процессов (SilentCleanup) может запускаться непривилегированным пользователем, но исполняться с повышенными правами. Как пояснили эксперты, файл SilentCleanup связан с утилитой Disk Cleanup или Cleanmgr.exe. При запуске cleanmgr.exe права процесса автоматически повышаются до максимального уровня, что связано с установленными настройками в конфигурации задачи.

После запуска утилита Disk Cleanup создает новую папку GUID в C:\Users\\AppData\Local\Temp, куда копируется несколько DLL-файлов, а также dismhost.exe.Запустившись, dismhost.exe начинает в определенном порядке выгружать файлы DLL из папки C:\Users\\AppData\Local\Temp\ . Поскольку текущий пользователь имеет доступ с правом на запись к директории %TEMP%, вполне возможно подменить DLL, используемый процессом dismhost.exe.

Исследователи представили свои наработки специалистам Microsoft, однако в компании отметили, что механизм Контроля учетных записей не относится к функциям безопасности и, соответственно, данная проблема не может рассматриваться как уязвимость.

https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/

http://www.securitylab.ru/news/483201.php

О чем говорит эта новость?

Несмотря на то, что человек работает с пониженными правами, ряд утилит использует права куда более высокие.
Работа с правами пользователя, отличными от прав администратора, – уже не панацея, хоть это и значительно снижает риск заражения.
Использование белого списка разрешенных программ – также уже не панацея: атака производится путем подмены библиотеки.
Контроль целостности запущенных приложений – тоже не панацея: инжекта кода в работающий процесс не происходит, процесс сразу запускается, имея вредоносный функционал.

#уязвимость #антивирус #безопасность

Антивирусная правДА! рекомендует

Безопасность — странный предмет. «Вроде бы есть, а вроде бы нет». Ни одно средство защиты само по себе не является «золотой пулей», решающей все проблемы безопасности. В ее основе лежит понимание пользователем последствий любых своих действий.
Использование пониженных прав, белого списка программ, контроль целостности процессов – все это может защитить от запуска новых приложений, от изменения возможностей приложений «на лету». Но только антивирус позволяет проверить все новые файлы и дать гарантию отсутствия среди них известных вредоносных программ. А в случае неизвестных угроз – пролечить их после получения обновлений.

Все, наверное, видели фильмы, где герой спит с пистолетом под подушкой? Антивирус – и есть тот самый пистолет, позволяющий поставить точку в притязаниях грабителя, обошедшего все меры защиты вашей цифровой «квартиры».

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
17:29:32 2018-12-10

Безопасность действительно странный предмет! То есть, то ее сразу нет!

Денисенко Павел Андреевич
22:07:03 2018-08-05

Безопасность для ПК - превыше всего.

vasvet
10:27:30 2018-04-10

Антивирус – тот самый пистолет. Нормальное сравнение, но справедливое.

alex-diesel Собкор
17:28:23 2018-03-23

вывод - как ни старайся, чем ни защищайся, но от чужого косяка никто не застрахован.
А главное, его и предусмотреть то не просто ((
спасибо антивирусу, что значительно снижает риски.

ka_s
09:55:02 2017-05-17

Понравились выводы в статье и рекомендации Dr.Web: готовые пункты в политику безопасности!

Шалтай Александр Болтай Собкор
16:45:57 2017-02-28

Без ремня ездить опасно — штраф... С выключенными фарами тоже опасно — штраф... Детям без детского кресла нельзя — штраф... А то, что на дорогах ямы метр на метр — это нормально, никак не влияет на безопасность движения.

eaglebuk
13:35:41 2017-02-09

в сферическом вакууме есть безопасность

Александр Ш. Собкор
23:51:20 2017-01-27

@biotok, Вы можете воспользоваться иконкой "Карандаш", которая находится вверху, и обратиться в техподдержку через форму обратной связи.

P.S. https://support.drweb.ru/new/feedback/

biotok
22:18:14 2017-01-27

Действительно, безопасность странный предмет. Уже целый час бьюс, как задать вопрос в техподдержку - но не могу найти куда стучать. Может кто тут ответит - после установки dr web и быстрого сканирования нет соединения с интернетом.

biotok
22:16:03 2017-01-27

Действительно, безопасность странный предмет. Уже целый

Пaвeл Собкор
11:57:01 2017-01-13

Безопасность – странный предмет. «Вроде бы есть, а вроде бы нет».

1milS
07:18:34 2016-11-20

прочитано

nahimovec
09:41:57 2016-11-08

Самое главное чтобы пистолет осечек не давал.

Вячeслaв Собкор
10:29:17 2016-11-07

@bob123456, > и предугадывать все их возможные и невозможные действия
Расчехляет значит хакер свои любимые инструменты. Звонок в дверь. Вы арестованы! Я же ничего не успел сделать! А мы заранее предугадали ваши последующие действия!
:-)

sania2186
09:07:07 2016-11-04

Ни одно средство защиты само по себе не является «золотой пулей», решающей все проблемы безопасности.

bob123456 Собкор
17:29:58 2016-11-03

@м...ч, Согласен, что защита должна быть неожиданной. Но ещё защита должна быть и всесторонней - на все случаи жизни, так сказать. Должны быть предугаданы любые (даже теоретические) действия преступников. Но ещё, конечно же, лучше быть и на шаг впереди них и предугадывать все их возможные и невозможные действия. :)

2018
00:37:51 2016-11-03

гонка антивирусных вооружений

Вячeслaв Собкор
09:46:40 2016-11-02

@bob123456, кстати не совсем верная позиция. О том, что пистолет должен лежать под подушкой - знают все. Но вы попробуйте утречком, поворочавшись ночью на жаркой кровати пробиться сквозь складки простыни, найти пистолет (где он там за подушкой!), выхватить его - снять с предохранителя и тд. А вот преступники ежели что просто вас спихнут с подушки и все.
Защита должна быть неожиданной

bob123456 Собкор
16:34:32 2016-11-01

@dyadya_Sasha, Я не против ружья, обреза. Но пистолет под подушкой ближе. А если человек наткнётся на дикарей людоедов? Что тогда? Тогда и пистолет будет очень кстати. Правда, неожиданно? Так и с антивирусной защитой зачастую неизвестно откуда ждать подвоха. Так что надо всегда просчитывать варианты.

А вообще, идеальный вариант - оградить себя высоким забором под высоким напряжением, поставить систему ПВО и построить бункер под землёй на случай ядерной войны. :)

Дмитpий Собкор
12:54:21 2016-11-01

@a13x, Мне это видео напомнило вот такое произведение классика :)
http://ilibrary.ru/text/983/p.1/index.html

a13x Собкор
09:19:47 2016-11-01

@Дмитрий, этот автор поддерживает всегда Dr.Web-а, но как обычный пользователь. Вряд ли ему стукнет в голову намеренно лгать на антивирус. Тем более сам на практике знаю, что Dr.Web именно в этом очень часто косячит. И создает достаточно неудобств.

a13x Собкор
09:11:30 2016-11-01

@Неуёмный_Обыватель, неа. Компоненты не отключал. Но воспользовался другим ПО вместо Dr.Web, потому что в системе начались сбои из-за отечественного ПО :) НЕ только Dr.Web, поэтому пришлось систему целиком откатывать к заводским настройкам. А скачивать долго и по новой всё настраивает было некогда. Поэтому установил антивирус другого производителя (тот компактнее, быстрее и шустрее из линейки FREE). Но спустя месяц - пришлось признать, что хоть Dr.Web и блокирует всё подряд, это очень сильно раздражает, но он столько бы не пропустил. Всего 7 видов угроз. Из них 2 ПНП. Но 5 вредоносов за 1 месяц - это много. При том, что если в трёх случаях из пяти ещё понятно откуда они взялись, то вот 2 другие - вообще подозрительные.
Один из 2-х непонятно откуда взявшихся - был вообще Dr.Web-ом обнаружен в пресловутом Яндекс.Браузере. Ещё не разбирался, что там было, но тут либо Я.Бр неизвестно что качнул, либо опять тот самый пример блокировки Dr.Web-ом здоровых, нормальных программ как вирусных/зараженных/вредоносных.
В Я.Бр-е Dr.Web выловил: Adware.Toolbar.333.

Неуёмный Обыватель Собкор
01:11:04 2016-11-01

a13x, то, что кучу вредоносов удалил с ПК почти ни о чем не говорит. Только о том, что на данный момент проверки именно эта кучка вредоносов добавлена в базы антивируса и продукт умеет с ними бороться. А вы прогоняли перед этим другим ПО и они не нашли? А если он у вас стоял и таки удалил прям кучу вредоносов, то вероятность, что это вы сами натаскали себе эту кучу, отключая некоторые функции, очень высока. За последние несколько лет у меня нашлась только парочка в тех архивах, которые я скачивал, отключая некоторые компоненты.

razgen Собкор
23:43:49 2016-10-31

@a13x,:"Ещё раз убедился, что Dr.Web - крут. Кучу вредоносов удалил с ПК. Надо чаще устраивать полную проверку!"
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

А у меня при полных проверках ничего вредоносного Др.Веб не обнаруживает. Может быть потому, что у меня постоянно все функции включены, и всё устраняется налету.

dyadya_Sasha Собкор
23:29:42 2016-10-31

@a13x, У меня такая фигня была, где-то год назад. Последее время ставится без вопросов.

visito
23:19:08 2016-10-31

и это правда!

В...а
23:17:07 2016-10-31

такой уж вопрос

dyadya_Sasha Собкор
23:16:37 2016-10-31

@bob123456, "...Человек спит с пистолетом под подушкой ещё и там, где очень много диких зверей (вредоносов) вокруг..."
В аналогии со зверьми, оружие более уместно. Но подушка и с пистолетом не из этого сериала, скорее тогда ружье и спальник:).
И все-таки ночной лес с дикими зверьми - экстремальная ситуация. Сравнение авторов защиты обычной и "цифровой" квартиры подходит больше. И грабитель обошедший все меры защиты тоже хорошо вписывается, но пистолет под подушкой?! И замену то не найти.)) Может собака?

Demon
23:07:02 2016-10-31

Смешно.

С...й
23:01:57 2016-10-31

всегда ЗА нее!

НинаК
22:57:59 2016-10-31

панацеи нет

ek
22:25:07 2016-10-31

безоговорочно не верим

kva-kva
21:36:19 2016-10-31

Безопасность - это процесс!

bob123456 Собкор
21:22:54 2016-10-31

@dyadya_Sasha, Понятно, что хотел сказать автор, но сравнение несколько покоробило. С пистолетом под подушкой спит человек, который, в силу обстоятельств, отличается от обычных людей, либо спит там, где вокруг всё очень и очень плохо, одни грабители и бандиты.
______________
Человек спит с пистолетом под подушкой ещё и там, где очень много диких зверей (вредоносов) вокруг, а сам он находится в шалаше. :) И для того чтобы не достаться на обед какому-либо зверю, он должен предпринять много превентивных мер: положить пистолет под подушку, развести огонь, который бы отпугивал диких животных, расставить капканы и ловушки, чтобы поймать добычу и не умереть с голоду (а потом уж быть съеденым), установить сигнализацию по периметру на случай, если огонь погаснет, распылить средства от комаров, чтобы не заболеть малярией и т.д. :) А

Интернет - это та же самая дикая природа, где пользователя на каждом шагу подстерегают опасности. Точно так же как в диком лесу человека за ногу может укусить змея. Так что всегда нужно быть начеку.

mk.insta
21:19:38 2016-10-31

все как обычно

bob123456 Собкор
21:06:54 2016-10-31

Правильно всё Майкрософт ответил. UAC - утилита, которая только спрашивает пользователя о том, запускать ли приложение или нет. И если пользователь уверен, что скачивал приложение из надёжного источника, то он смело жмёт "Да". Либо если надёжная программа требует повысить привилегии до уровня администратора, то UAC тоже даёт об этом знать. То есть UAC носит исключительно информативный характер. И здесь очень важно не нажимать сразу кнопку "Да", а внимательно читать, что написано в предупреждении. Если там написано, что какая-то абракадабра пытается получить права администратора, то такой программе надо говорить "Нет". Просто раньше, в Хрюшке, такой функции не было, а большинство работали под правами администратора и вредоносы запускались сами по себе, стоило пользователю нажать на клавишу "энтер". Именно для избежания этого и была внедрена UAC в операционную систему.

Инжект - это тоже вредоносный код и встроенный Защитник Windows с ним вполне может справиться. Защиту тоже надо рассматривать в комплексе, а не останавливаться на каких-то отдельных компонентах. Я как-то не слышал ещё, что кто-то именно от указанной в статье уязвимости пострадал. Так что пока это из области кардиостимуляторов, о которых писалось ранее.

P.S. Я всегда рассматривал функцию UAC как вспомогательную и в связке с антивирусом это вполне неплохой тандем, хорошие два партнёра. Она не заменяет антивирус точно так же как антивирус не заменяет её. Это подобие брандмауэра (который спрашивает о том, можно ли приложению лезть в Интернет или нет), только для исполняемых файлов.

Кстати, антивирус делает по сути то же самое, ведь вредоносный файл всегда можно добавить во всякие исключения и в конце концов его запустить на свою голову.

Дмитpий Собкор
20:23:46 2016-10-31

@a13x, На видео с громким названием о битве гигантов его автор почему то умалчивает о настройках DrWeb'а. Если уровень эвристики выставлен в "паранойя" и гигант теста знает об этом и молчит, то это просто банальная попытка манипуляции своей аудиторией. Для иных случаев @м...ч даёт дельный совет -Не заниматься собственным пиаром, а обратится в техподдержку.

Mehatronik
20:09:39 2016-10-31

Отличный выпуск) Спасибо)

Сергей
19:49:01 2016-10-31

Безопасность превыше всего!

Неуёмный Обыватель Собкор
18:58:05 2016-10-31

@a13x, буквально в прошлую субботу скачивал и устанавливал точно так же, как этот мужик с видео то же самое при ВКЛЮЧЕННОМ Security Space. Никаких проблем не возникло и все встало без лишних движений. Правда на видео другой Windows, не такой, как у меня.

B0RIS
18:25:48 2016-10-31

Абсолютной безопасности не бывает.

Вячeслaв Собкор
17:52:24 2016-10-31

@a13x, грамотный пользователь обнаружив баг делает что? пост на ютуб! А в результате разработчики вполне могут и не узнать о проблеме, возникающей в конкретном окружении. Я лично многократно ставил Адоб и до антивируса и после - с разными версиями. Ни разу не было проблем. Но я не отрицаю, что проблема может быть. Поэтому прошу - есть проблема, напишите тикет. Мы очень будем вам благодарны

Coolander
16:48:31 2016-10-31

Занятно и обязательно к прочтению.

a13x Собкор
16:41:37 2016-10-31

Работники Dr.Web - вот из-за подобного и бывает очень неприятно использовать ваши продукты :)
Если вы не знали: посмотрите: https://drw.sh/eyjzgs
Это ведь не только с Adobe Flash происходит.

djabax
15:09:35 2016-10-31

Uac не пользуюсь

a13x Собкор
15:05:39 2016-10-31

Ещё раз убедился, что Dr.Web - крут. Кучу вредоносов удалил с ПК. Надо чаще устраивать полную проверку!

Людмила
15:03:13 2016-10-31

@GREEN,
навязывание товара или слуги в терминах Законов РФ это обуславливаник приобретения одних товаров (работ, услуг) обязательным приобретением иных товаров (работ, услуг).

Zulfat
14:39:51 2016-10-31

Используйте drweb.

DeeAnvil
14:29:13 2016-10-31

Нет идеальной системы, нет и не будет.

Dvakota
14:29:10 2016-10-31

Вывод очевиден . Да и опыт подтверждает - нужен антивирус .

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Безопасность — странный предмет

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей