Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Безопасность — странный предмет

Прочитали: 4544 Комментариев: 138 Рейтинг: 280

В выпусках проекта «Антивирусная правДА!» мы неоднократно рекомендовали при работе с различными устройствами использовать пониженные права и одновременно предупреждали, что не стоит безоговорочно верить маркетологам, расхваливающим ту или иную технологию.

Исследователи Мэтт Гребер (Matt Graeber) и Мэтт Нелсон (Matt Nelson) обнаружили новый способ обхода функции Контроля учетных записей в Windows, предназначенной для предотвращения несанкционированных изменений в компьютере.

Проанализировав ряд установленных по умолчанию задач в планировщике Windows 10, исследователи выяснили, что один из процессов (SilentCleanup) может запускаться непривилегированным пользователем, но исполняться с повышенными правами. Как пояснили эксперты, файл SilentCleanup связан с утилитой Disk Cleanup или Cleanmgr.exe. При запуске cleanmgr.exe права процесса автоматически повышаются до максимального уровня, что связано с установленными настройками в конфигурации задачи.

После запуска утилита Disk Cleanup создает новую папку GUID в C:\Users\\AppData\Local\Temp, куда копируется несколько DLL-файлов, а также dismhost.exe.Запустившись, dismhost.exe начинает в определенном порядке выгружать файлы DLL из папки C:\Users\\AppData\Local\Temp\ . Поскольку текущий пользователь имеет доступ с правом на запись к директории %TEMP%, вполне возможно подменить DLL, используемый процессом dismhost.exe.

#drweb

Исследователи представили свои наработки специалистам Microsoft, однако в компании отметили, что механизм Контроля учетных записей не относится к функциям безопасности и, соответственно, данная проблема не может рассматриваться как уязвимость.

https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/

http://www.securitylab.ru/news/483201.php

О чем говорит эта новость?

  • Несмотря на то, что человек работает с пониженными правами, ряд утилит использует права куда более высокие.
  • Работа с правами пользователя, отличными от прав администратора, – уже не панацея, хоть это и значительно снижает риск заражения.
  • Использование белого списка разрешенных программ – также уже не панацея: атака производится путем подмены библиотеки.
  • Контроль целостности запущенных приложений – тоже не панацея: инжекта кода в работающий процесс не происходит, процесс сразу запускается, имея вредоносный функционал.
#уязвимость #антивирус #безопасность

Dr.Web рекомендует

  • Безопасность — странный предмет. «Вроде бы есть, а вроде бы нет». Ни одно средство защиты само по себе не является «золотой пулей», решающей все проблемы безопасности. В ее основе лежит понимание пользователем последствий любых своих действий.
  • Использование пониженных прав, белого списка программ, контроль целостности процессов – все это может защитить от запуска новых приложений, от изменения возможностей приложений «на лету». Но только антивирус позволяет проверить все новые файлы и дать гарантию отсутствия среди них известных вредоносных программ. А в случае неизвестных угроз – пролечить их после получения обновлений.

Все, наверное, видели фильмы, где герой спит с пистолетом под подушкой? Антивирус – и есть тот самый пистолет, позволяющий поставить точку в притязаниях грабителя, обошедшего все меры защиты вашей цифровой «квартиры».

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: