Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Безопасность — странный предмет

Прочитали: 7539 Комментариев: 78 Рейтинг: 289

31 октября 2016

В выпусках проекта «Антивирусная правДА!» мы неоднократно рекомендовали при работе с различными устройствами использовать пониженные права и одновременно предупреждали, что не стоит безоговорочно верить маркетологам, расхваливающим ту или иную технологию.

Исследователи Мэтт Гребер (Matt Graeber) и Мэтт Нелсон (Matt Nelson) обнаружили новый способ обхода функции Контроля учетных записей в Windows, предназначенной для предотвращения несанкционированных изменений в компьютере.

Проанализировав ряд установленных по умолчанию задач в планировщике Windows 10, исследователи выяснили, что один из процессов (SilentCleanup) может запускаться непривилегированным пользователем, но исполняться с повышенными правами. Как пояснили эксперты, файл SilentCleanup связан с утилитой Disk Cleanup или Cleanmgr.exe. При запуске cleanmgr.exe права процесса автоматически повышаются до максимального уровня, что связано с установленными настройками в конфигурации задачи.

После запуска утилита Disk Cleanup создает новую папку GUID в C:\Users\\AppData\Local\Temp, куда копируется несколько DLL-файлов, а также dismhost.exe.Запустившись, dismhost.exe начинает в определенном порядке выгружать файлы DLL из папки C:\Users\\AppData\Local\Temp\ . Поскольку текущий пользователь имеет доступ с правом на запись к директории %TEMP%, вполне возможно подменить DLL, используемый процессом dismhost.exe.

#drweb

Исследователи представили свои наработки специалистам Microsoft, однако в компании отметили, что механизм Контроля учетных записей не относится к функциям безопасности и, соответственно, данная проблема не может рассматриваться как уязвимость.

https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/

http://www.securitylab.ru/news/483201.php

О чем говорит эта новость?

  • Несмотря на то, что человек работает с пониженными правами, ряд утилит использует права куда более высокие.
  • Работа с правами пользователя, отличными от прав администратора, – уже не панацея, хоть это и значительно снижает риск заражения.
  • Использование белого списка разрешенных программ – также уже не панацея: атака производится путем подмены библиотеки.
  • Контроль целостности запущенных приложений – тоже не панацея: инжекта кода в работающий процесс не происходит, процесс сразу запускается, имея вредоносный функционал.
#уязвимость #антивирус #безопасность

Антивирусная правДА! рекомендует

  • Безопасность — странный предмет. «Вроде бы есть, а вроде бы нет». Ни одно средство защиты само по себе не является «золотой пулей», решающей все проблемы безопасности. В ее основе лежит понимание пользователем последствий любых своих действий.
  • Использование пониженных прав, белого списка программ, контроль целостности процессов – все это может защитить от запуска новых приложений, от изменения возможностей приложений «на лету». Но только антивирус позволяет проверить все новые файлы и дать гарантию отсутствия среди них известных вредоносных программ. А в случае неизвестных угроз – пролечить их после получения обновлений.

Все, наверное, видели фильмы, где герой спит с пистолетом под подушкой? Антивирус – и есть тот самый пистолет, позволяющий поставить точку в притязаниях грабителя, обошедшего все меры защиты вашей цифровой «квартиры».

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: