Нажми и получишь решение своих проблем!!!
X Наши мужики самые лучшие и самые неженатые мужики в Рунете!
Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

* Недавно обновленные темы

Автор Тема: Уязвимости ОС Windows  (Прочитано 1740 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #30 : 10 Декабрь 2017, 18:02 »
В Windows обнаружили уязвимость, которую не распознает любой антивирус
Microsoft постоянно работает над улучшением механизмов защиты своей операционной системы Windows, однако предусмотреть все и везде очень сложно.
На конференции хакеров Black Hat 2017 стало известно об очень серьезной уязвимости. Алгоритм Process Doppelgänging, который использует Windows NTFS Transaction, позволяет запустить внутрь системы вредоносный код и его не находит ни один антивирус.

Что за функция NTFS Transaction? Она была представлена в Windows Vista и позволяет программам записывать какие-либо данные на жесткий диск. До этого используемые алгоритмы не давали гарантий полного вывода нужной информации, и если обнаруживалась какая-то проблема, то данные записывались лишь частично, что было неудобно для разработчиков.

С выходом NTFS Transaction у них теперь есть гарантия, что все данные в полном объеме будут записаны на диск. Все происходит в три этапа:
Нужная информация записывается системой в отдельную область на диске и она следит, чтобы все прошло успешно.
Если все прошло хорошо, то система идет перемещение файлов в указанную программой директорию. Происходит это с помощью ссылок.
Если же не удается записать, то Windows пробует вывести информацию в другое место на диске.
На данный момент механизм NTFS Transaction устарел. Его не рекомендуют использовать разработчикам, а в будущих версиях он может и вовсе исчезнуть.

Что делает Process Doppelgänging? Хакерам удалось узнать, что никакие антивирусы не следят за той областью диска, куда NTFS Transaction пробует записать данные. Поэтому вредоносный код, который создаст на диске область с файлами вируса внедряется в какой-нибудь доверенный исполняемый файл, который запускают в NTFS Trasnsaction. Получается, что функция искусственно прерывается, и Windows возвращает зараженный исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов. Далее вирус запускается с помощью устаревшего механизма времен Windows XP.

Уязвимы все версии Windows, включая Windows 10 Creators Update и Windows 10 Fall Creators Update. Правда, для атаки злоумышленникам необходимо знать немало подробностей о работе и создании процессов, так что о массовой проблеме пока речь не идёт. Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.
Поблагодарили: Veronica, topinant, Wasek

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #31 : 04 Январь 2018, 20:01 »
Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах
Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke уже представил PoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

Согласно официальному пресс-релизу Intel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

Поблагодарили: topinant, YRS, vdovbnenko, reva554, Wasek, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #32 : 22 Февраль 2018, 23:00 »
Google опубликовала еще одну уязвимость в Windows 10
На этой неделе подразделение Google Project Zero опубликовало в интернете информацию о весьма серьезной уязвимости в Microsoft Edge, которую разработчики компании не смогли залечить за более чем 100 дней, отведенных на исправление. Google не ограничилась Edge и рассказала о еще одной дыре, которую не закрыли на протяжении 90 дней. На этот раз уязвимость нашли в самой Windows 10
В ноябре 2017 года Google сообщила в Microsoft о двух уязвимостях в Windows 10. Софтверный гигант закрыл лишь одну из них в недавних накопительных обновлениях, оставив вторую без внимания. Microsoft отметила ее как важную, но не как критическую, поскольку ее нельзя использовать удаленно. В любом случае, баг весьма серьезный, поскольку позволяет обычному юзеру получить права администратора. Злоумышленники могут использовать другие неизвестные пока техники удаленного исполнения кода на машине жертвы для дальнейшего получения прав администратора.

Пока что нет никакой информации о том, когда Microsoft закроет эту уязвимость. Кроме того, разработчикам еще предстоит залечить дыру в Microsoft Edge, о которой стало известно на этой неделе. Ситуация усложняется тем, что исправление уязвимости в Microsoft Edge требует от разработчиков переписать большое количество кода.

Происходящее является палкой с двумя концами. С одной стороны, политика принуждения к закрытию уязвимостей делает софт, которым пользуются сотни миллионов пользователей, безопаснее. С другой стороны, раскрытие этой информации до выхода официальных патчей подвергает опасности этих самых пользователей, поскольку злоумышленники могут воспользоваться уязвимостью, пока разработчики чинят ее в своих лабораториях. Можно смело сказать, что Microsoft будет очень недовольна поведением Google. Все же компания определенно знала, что, если не починит свою ОС, информация о найденных уязвимостях уйдет в публичный доступ.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #33 : 21 Апрель 2018, 20:31 »
Google раскрыла уязвимость в Windows 10 S, несмотря на просьбы Microsoft
Уязвимость позволяет выполнить произвольный код, однако Google не считает ее серьезной.

Команда Google Project Zero сообщила об уязвимости в ряде операционных систем с включенным режимом UMCI, в частности в Windows 10 S. Как правило, обнаружив уязвимость в том или ином продукте, Google Project Zero сообщает о ней производителю и дает 90 дней на исправление. По истечении этого срока подробности об уязвимости публикуются, даже если патч не был выпущен. Несмотря на неоднократные просьбы Microsoft повременить с публикацией уязвимости, Google Project Zero все равно сообщила о ней широкой общественности.

Исследователи уведомили Microsoft об уязвимости еще 19 января, однако до планового апрельского выпуска бюллетеней безопасности компания так и не исправила ее. Производитель попросил придержать раскрытие на 14 дней и пообещал выпустить патч с майскими обновлениями, однако команда Google Project Zero повременить отказалась и опубликовала подробности об уязвимости. Исследователи мотивировали это тем, что проблема не очень опасная и даже в отсутствие исправления ее все равно можно решить.

Windows 10 S представляет собой безопасную и отчасти изолированную ОС от Microsoft со многими ограничениями, такими как невозможность запуска приложений Win32. Однако команда Google Project Zero обнаружила уязвимость, позволяющую выполнить произвольный код на системе с включенным режимом UMCI, например, Device Guard (активирован в Windows 10 S по умолчанию).

Уязвимость нельзя проэксплуатировать удаленно. С ее помощью злоумышленник может модифицировать записи реестра, однако для этого на атакуемой системе уже должен быть запущен вредоносный код. По словам исследователей, проблема неопасна, если уже исправлены другие уязвимости, такие как уязвимость в Edge, позволяющая удаленно выполнить код.

Теперь, когда подробности об уязвимости доступны широкой общественности, остается неясным, выпустит ли Microsoft патч с майскими бюллетенями, или подготовит внеплановое обновление.

Device Guard – сочетание корпоративных функций безопасности оборудования и программного обеспечения от Microsoft, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях.
Поблагодарили: reva554, topinant, Veronica, MKV

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #34 : 28 Апрель 2018, 21:35 »
Похитить учетные данные Windows можно с помощью PDF-документа
С помощью PDF-документа злоумышленник может инициировать SMB-запрос на вредоносный сервер и заполучить хэши NTLM.

Злоумышленники могут использовать PDF-файлы для похищения учетных данных Windows (хэшей NTLM) без участия пользователя путем одного лишь открытия файла.

В опубликованном на этой неделе исследовании специалист компании Check Point Ассаф Бахарав (Assaf Baharav) продемонстрировал , как атакующий может воспользоваться «родной» функцией стандарта PDF для похищения хэшей NTLM, используемых Windows для хранения учетных данных пользователей. Как пояснил исследователь, спецификации PDF позволяют загружать удаленный контент для действий GoToR (Go To Remote) и GoToE (Go To Embedded).

В ходе исследования Бахарав создал PDF-документ, использующий GoToR и GoToE. При открытии документ автоматически отправляет запрос на удаленный вредоносный SMB-сервер. По умолчанию все SMB-запросы также содержат хэши NTLM для аутентификации, записываемые в журнал SMB-сервера. Злоумышленник может воспользоваться доступными в настоящее время инструментами для взлома хэшей NTLM и извлечь учетные данные пользователей.

Данная атака не является новой и ранее уже осуществлялась путем инициирования SMB-запросов из документов Outlook, Office, общих папок и пр. Теперь список пополнился также PDF-документами.

Бахарав успешно протестировал атаку на Adobe Acrobat и FoxIT Reader и частным образом уведомил их производителей об обнаруженной проблеме. Представители FoxIT никак не отреагировали на уведомление, а в Adobe заявили, что не намерены ничего предпринимать, напомнив о существовании уведомления безопасности ADV170014.

Уведомление ADV170014 было выпущено компанией Microsoft в октябре 2017 года. В нем даны инструкции по отключению механизма SSO-аутентификации по NTLM во избежание похищения хэшей NTLM через SMB-запросы, отправляемые на сервер за пределами локальной сети.

Технология единого входа (Single Sign-On, SSO) – технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.

Поблагодарили: reva554, topinant, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #35 : 28 Апрель 2018, 21:38 »
Опубликован PoC-код, вызывающий синий экран смерти на Windows-ПК
Специализирующийся на аппаратном обеспечении исследователь компании Bitdefender Мариус Тивадар (Marius Tivadar) опубликовал на GitHub PoC-код, способный в считанные секунды вывести из строя большинство Windows-ПК, даже если они заблокированы.

Написанный Тивадаром PoC-код содержит видоизмененный образ файловой системы NTFS, который можно загрузить на USB-флэш-накопитель. Если подключить его к компьютеру под управлением Windows, через несколько секунд система перестанет работать и появится синий экран смерти.

Как пояснил исследователь, в Windows функция автовоспроизведения активирована по умолчанию и в сочетании с уязвимостью в NTFS позволяет вызвать критическую системную ошибку. Проэксплуатировать уязвимость можно даже с отключенной функцией автовоспроизведения, если файл на «флэшке» будет открыт (например, при сканировании USB-накопителя программой Windows Defender).

Тивадар сообщил Microsoft об обнаруженной им проблеме в июле 2017 года. Производитель не посчитал ее уязвимостью в безопасности, поэтому исследователь решил публиковать PoC-код. Microsoft не классифицировала баг как уязвимость, поскольку для его эксплуатации требуется либо иметь физический доступ к атакуемой системе, либо использовать методы социальной инженерии. Однако Тивадар не согласен с Microsoft. По его словам, физический доступ необязателен, так как злоумышленник может доставить PoC-код на атакуемый компьютер с помощью вредоносного ПО.

Как пояснил исследователь, уязвимость в NTFS опаснее, чем считает производитель, поскольку ее можно проэксплуатировать, даже если атакуемый компьютер заблокирован. По мнению Тивадара, ОС не должна считывать данные с подключенных к портам произвольных USB-накопителей, когда компьютер заблокирован.

Поблагодарили: reva554, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #36 : 03 Май 2018, 21:09 »
Исправляющие Meltdown патчи для Windows 10 содержат фатальную ошибку
Microsoft втихую исправила проблему с выходом Windows 10 Redstone 4 (v1803) в понедельник, 1 мая.

Обновления безопасности, выпущенные компанией Microsoft за последние несколько месяцев с целью исправить уязвимость Meltdown, содержат опасную ошибку. По словам исследователя из Crowdstrike Алекса Ионеску (Alex Ionescu), проблема затрагивает только обновления для Windows 10. Microsoft втихую исправила ее с выходом Windows 10 Redstone 4 (v1803) в понедельник, 30 апреля.

«Как оказалось, исправляющие уязвимость Meltdown патчи для Windows 10 содержали фатальную ошибку: запрос к NtCallEnclave возвращал в пространство пользователя полную директорию таблицы страниц ядра, полностью подрывая работу патча», - сообщил Ионеску.

По словам исследователя, на старых версиях Windows 10 по-прежнему установлены содержащие ошибку патчи, которые можно обойти.

Во вторник, 1 мая, Microsoft выпустила внеплановое обновление безопасности, однако вовсе не для того, чтобы портировать «исправленные» патчи на старые версии Windows 10. Обновление предназначено для исправления уязвимости CVE-2018-8115 в библиотеке Windows Host Compute Service Shim (hcsshim), позволяющей удаленно выполнить код на уязвимой системе. Обновленный файл hcsshim можно скачать отсюда.

Поскольку внеплановое обновление не исправляет ошибку в предыдущих патчах для Meltdown, можно предположить, что Microsoft включит исправленные патчи в майский релиз плановых обновлений.
Поблагодарили: reva554, tigr120, topinant, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 61840
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #37 : 10 Май 2018, 21:04 »
В ядрах всех крупных ОС обнаружена опасная уязвимость
Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Уязвимость CVE-2018-8897 может быть проэксплуатирована путем внедрения вредоносного ПО на устройство или авторизованным в системе злоумышленником. Согласно предупреждению специалистов координационого центра CERT, судя по всему, проблема вызвана неправильным пониманием разработчиков из Microsoft, Apple и других компаний некоторых инструкций в руководствах Intel и AMD, в частности, метода, используемого процессорами для обработки определенного исключения.

Речь идет об инструкциях MOV SS и POP SS, которые запрещают все прерывания, включая NMI (немаскируемые прерывания), до тех пор, пока не выполнится следующая команда. Если после применения команды MOV к регистру SS или POP к SS следуют инструкции SYSCALL, SYSENTER, INT 3 и т.д., передающие контроль с текущим уровнем привилегий (< 3) операционной системе, вызывается исключение отказ отладки (#DB), что может привести к неожиданному поведению системы. Таким образом, в определенных обстоятельствах после использования определенных инструкций Intel x86-64 исключение отладки, указывающие на данные в нижнем кольце защиты (для большинства ОС это 0-е кольцо защиты (Ring 0) - ядро ОС, системные драйверы), доступно компонентам ОС с 3-м уровнем привилегий (прикладные программы, запускаемые пользователем). Таким образом атакующий может использовать API операционной системы для доступа к памяти или низкоуровневым функциям ОС.

Уязвимости подвержены решения следующих производителей: Apple, DragonFly BSD Project, FreeBSD Project, ядро Linux, Microsoft, Red Hat, SUSE Linux, Ubuntu, VMware, Xen.

Разработчики уже устранили проблему в ядре Linux с выпуском версий 4.15.14, 4.14.31, 4.9.91, 4.4.125, а также в более ранних ветках 4.1, 3.16 и 3.2. Соответствующие обновления выпустили Red Hat , Ubuntu и Apple . Microsoft исправила уязвимость с выпуском Windows 10 April 2018 Update (версия 1803). Также доступны патчи для Xen 4.6 - 4.10 и FreeBSD .

 
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Поблагодарили: reva554, Veronica, topinant