Нажми и получишь решение своих проблем!!!
X Наши мужики самые лучшие и самые неженатые мужики в Рунете!
Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

* Недавно обновленные темы

Автор Тема: Уязвимости ОС Windows  (Прочитано 2116 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #30 : 10 Декабрь 2017, 18:02 »
В Windows обнаружили уязвимость, которую не распознает любой антивирус
Microsoft постоянно работает над улучшением механизмов защиты своей операционной системы Windows, однако предусмотреть все и везде очень сложно.
На конференции хакеров Black Hat 2017 стало известно об очень серьезной уязвимости. Алгоритм Process Doppelgänging, который использует Windows NTFS Transaction, позволяет запустить внутрь системы вредоносный код и его не находит ни один антивирус.

Что за функция NTFS Transaction? Она была представлена в Windows Vista и позволяет программам записывать какие-либо данные на жесткий диск. До этого используемые алгоритмы не давали гарантий полного вывода нужной информации, и если обнаруживалась какая-то проблема, то данные записывались лишь частично, что было неудобно для разработчиков.

С выходом NTFS Transaction у них теперь есть гарантия, что все данные в полном объеме будут записаны на диск. Все происходит в три этапа:
Нужная информация записывается системой в отдельную область на диске и она следит, чтобы все прошло успешно.
Если все прошло хорошо, то система идет перемещение файлов в указанную программой директорию. Происходит это с помощью ссылок.
Если же не удается записать, то Windows пробует вывести информацию в другое место на диске.
На данный момент механизм NTFS Transaction устарел. Его не рекомендуют использовать разработчикам, а в будущих версиях он может и вовсе исчезнуть.

Что делает Process Doppelgänging? Хакерам удалось узнать, что никакие антивирусы не следят за той областью диска, куда NTFS Transaction пробует записать данные. Поэтому вредоносный код, который создаст на диске область с файлами вируса внедряется в какой-нибудь доверенный исполняемый файл, который запускают в NTFS Trasnsaction. Получается, что функция искусственно прерывается, и Windows возвращает зараженный исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов. Далее вирус запускается с помощью устаревшего механизма времен Windows XP.

Уязвимы все версии Windows, включая Windows 10 Creators Update и Windows 10 Fall Creators Update. Правда, для атаки злоумышленникам необходимо знать немало подробностей о работе и создании процессов, так что о массовой проблеме пока речь не идёт. Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.
Поблагодарили: Veronica, topinant, Wasek, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #31 : 04 Январь 2018, 20:01 »
Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах
Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke уже представил PoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

Согласно официальному пресс-релизу Intel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

Поблагодарили: topinant, YRS, vdovbnenko, reva554, Wasek, Veronica, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #32 : 22 Февраль 2018, 23:00 »
Google опубликовала еще одну уязвимость в Windows 10
На этой неделе подразделение Google Project Zero опубликовало в интернете информацию о весьма серьезной уязвимости в Microsoft Edge, которую разработчики компании не смогли залечить за более чем 100 дней, отведенных на исправление. Google не ограничилась Edge и рассказала о еще одной дыре, которую не закрыли на протяжении 90 дней. На этот раз уязвимость нашли в самой Windows 10
В ноябре 2017 года Google сообщила в Microsoft о двух уязвимостях в Windows 10. Софтверный гигант закрыл лишь одну из них в недавних накопительных обновлениях, оставив вторую без внимания. Microsoft отметила ее как важную, но не как критическую, поскольку ее нельзя использовать удаленно. В любом случае, баг весьма серьезный, поскольку позволяет обычному юзеру получить права администратора. Злоумышленники могут использовать другие неизвестные пока техники удаленного исполнения кода на машине жертвы для дальнейшего получения прав администратора.

Пока что нет никакой информации о том, когда Microsoft закроет эту уязвимость. Кроме того, разработчикам еще предстоит залечить дыру в Microsoft Edge, о которой стало известно на этой неделе. Ситуация усложняется тем, что исправление уязвимости в Microsoft Edge требует от разработчиков переписать большое количество кода.

Происходящее является палкой с двумя концами. С одной стороны, политика принуждения к закрытию уязвимостей делает софт, которым пользуются сотни миллионов пользователей, безопаснее. С другой стороны, раскрытие этой информации до выхода официальных патчей подвергает опасности этих самых пользователей, поскольку злоумышленники могут воспользоваться уязвимостью, пока разработчики чинят ее в своих лабораториях. Можно смело сказать, что Microsoft будет очень недовольна поведением Google. Все же компания определенно знала, что, если не починит свою ОС, информация о найденных уязвимостях уйдет в публичный доступ.

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #33 : 21 Апрель 2018, 20:31 »
Google раскрыла уязвимость в Windows 10 S, несмотря на просьбы Microsoft
Уязвимость позволяет выполнить произвольный код, однако Google не считает ее серьезной.

Команда Google Project Zero сообщила об уязвимости в ряде операционных систем с включенным режимом UMCI, в частности в Windows 10 S. Как правило, обнаружив уязвимость в том или ином продукте, Google Project Zero сообщает о ней производителю и дает 90 дней на исправление. По истечении этого срока подробности об уязвимости публикуются, даже если патч не был выпущен. Несмотря на неоднократные просьбы Microsoft повременить с публикацией уязвимости, Google Project Zero все равно сообщила о ней широкой общественности.

Исследователи уведомили Microsoft об уязвимости еще 19 января, однако до планового апрельского выпуска бюллетеней безопасности компания так и не исправила ее. Производитель попросил придержать раскрытие на 14 дней и пообещал выпустить патч с майскими обновлениями, однако команда Google Project Zero повременить отказалась и опубликовала подробности об уязвимости. Исследователи мотивировали это тем, что проблема не очень опасная и даже в отсутствие исправления ее все равно можно решить.

Windows 10 S представляет собой безопасную и отчасти изолированную ОС от Microsoft со многими ограничениями, такими как невозможность запуска приложений Win32. Однако команда Google Project Zero обнаружила уязвимость, позволяющую выполнить произвольный код на системе с включенным режимом UMCI, например, Device Guard (активирован в Windows 10 S по умолчанию).

Уязвимость нельзя проэксплуатировать удаленно. С ее помощью злоумышленник может модифицировать записи реестра, однако для этого на атакуемой системе уже должен быть запущен вредоносный код. По словам исследователей, проблема неопасна, если уже исправлены другие уязвимости, такие как уязвимость в Edge, позволяющая удаленно выполнить код.

Теперь, когда подробности об уязвимости доступны широкой общественности, остается неясным, выпустит ли Microsoft патч с майскими бюллетенями, или подготовит внеплановое обновление.

Device Guard – сочетание корпоративных функций безопасности оборудования и программного обеспечения от Microsoft, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях.
Поблагодарили: reva554, topinant, Veronica, MKV, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #34 : 28 Апрель 2018, 21:35 »
Похитить учетные данные Windows можно с помощью PDF-документа
С помощью PDF-документа злоумышленник может инициировать SMB-запрос на вредоносный сервер и заполучить хэши NTLM.

Злоумышленники могут использовать PDF-файлы для похищения учетных данных Windows (хэшей NTLM) без участия пользователя путем одного лишь открытия файла.

В опубликованном на этой неделе исследовании специалист компании Check Point Ассаф Бахарав (Assaf Baharav) продемонстрировал , как атакующий может воспользоваться «родной» функцией стандарта PDF для похищения хэшей NTLM, используемых Windows для хранения учетных данных пользователей. Как пояснил исследователь, спецификации PDF позволяют загружать удаленный контент для действий GoToR (Go To Remote) и GoToE (Go To Embedded).

В ходе исследования Бахарав создал PDF-документ, использующий GoToR и GoToE. При открытии документ автоматически отправляет запрос на удаленный вредоносный SMB-сервер. По умолчанию все SMB-запросы также содержат хэши NTLM для аутентификации, записываемые в журнал SMB-сервера. Злоумышленник может воспользоваться доступными в настоящее время инструментами для взлома хэшей NTLM и извлечь учетные данные пользователей.

Данная атака не является новой и ранее уже осуществлялась путем инициирования SMB-запросов из документов Outlook, Office, общих папок и пр. Теперь список пополнился также PDF-документами.

Бахарав успешно протестировал атаку на Adobe Acrobat и FoxIT Reader и частным образом уведомил их производителей об обнаруженной проблеме. Представители FoxIT никак не отреагировали на уведомление, а в Adobe заявили, что не намерены ничего предпринимать, напомнив о существовании уведомления безопасности ADV170014.

Уведомление ADV170014 было выпущено компанией Microsoft в октябре 2017 года. В нем даны инструкции по отключению механизма SSO-аутентификации по NTLM во избежание похищения хэшей NTLM через SMB-запросы, отправляемые на сервер за пределами локальной сети.

Технология единого входа (Single Sign-On, SSO) – технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.

Поблагодарили: reva554, topinant, Veronica, Винни Пух, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #35 : 28 Апрель 2018, 21:38 »
Опубликован PoC-код, вызывающий синий экран смерти на Windows-ПК
Специализирующийся на аппаратном обеспечении исследователь компании Bitdefender Мариус Тивадар (Marius Tivadar) опубликовал на GitHub PoC-код, способный в считанные секунды вывести из строя большинство Windows-ПК, даже если они заблокированы.

Написанный Тивадаром PoC-код содержит видоизмененный образ файловой системы NTFS, который можно загрузить на USB-флэш-накопитель. Если подключить его к компьютеру под управлением Windows, через несколько секунд система перестанет работать и появится синий экран смерти.

Как пояснил исследователь, в Windows функция автовоспроизведения активирована по умолчанию и в сочетании с уязвимостью в NTFS позволяет вызвать критическую системную ошибку. Проэксплуатировать уязвимость можно даже с отключенной функцией автовоспроизведения, если файл на «флэшке» будет открыт (например, при сканировании USB-накопителя программой Windows Defender).

Тивадар сообщил Microsoft об обнаруженной им проблеме в июле 2017 года. Производитель не посчитал ее уязвимостью в безопасности, поэтому исследователь решил публиковать PoC-код. Microsoft не классифицировала баг как уязвимость, поскольку для его эксплуатации требуется либо иметь физический доступ к атакуемой системе, либо использовать методы социальной инженерии. Однако Тивадар не согласен с Microsoft. По его словам, физический доступ необязателен, так как злоумышленник может доставить PoC-код на атакуемый компьютер с помощью вредоносного ПО.

Как пояснил исследователь, уязвимость в NTFS опаснее, чем считает производитель, поскольку ее можно проэксплуатировать, даже если атакуемый компьютер заблокирован. По мнению Тивадара, ОС не должна считывать данные с подключенных к портам произвольных USB-накопителей, когда компьютер заблокирован.

Поблагодарили: reva554, Veronica, Винни Пух, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #36 : 03 Май 2018, 21:09 »
Исправляющие Meltdown патчи для Windows 10 содержат фатальную ошибку
Microsoft втихую исправила проблему с выходом Windows 10 Redstone 4 (v1803) в понедельник, 1 мая.

Обновления безопасности, выпущенные компанией Microsoft за последние несколько месяцев с целью исправить уязвимость Meltdown, содержат опасную ошибку. По словам исследователя из Crowdstrike Алекса Ионеску (Alex Ionescu), проблема затрагивает только обновления для Windows 10. Microsoft втихую исправила ее с выходом Windows 10 Redstone 4 (v1803) в понедельник, 30 апреля.

«Как оказалось, исправляющие уязвимость Meltdown патчи для Windows 10 содержали фатальную ошибку: запрос к NtCallEnclave возвращал в пространство пользователя полную директорию таблицы страниц ядра, полностью подрывая работу патча», - сообщил Ионеску.

По словам исследователя, на старых версиях Windows 10 по-прежнему установлены содержащие ошибку патчи, которые можно обойти.

Во вторник, 1 мая, Microsoft выпустила внеплановое обновление безопасности, однако вовсе не для того, чтобы портировать «исправленные» патчи на старые версии Windows 10. Обновление предназначено для исправления уязвимости CVE-2018-8115 в библиотеке Windows Host Compute Service Shim (hcsshim), позволяющей удаленно выполнить код на уязвимой системе. Обновленный файл hcsshim можно скачать отсюда.

Поскольку внеплановое обновление не исправляет ошибку в предыдущих патчах для Meltdown, можно предположить, что Microsoft включит исправленные патчи в майский релиз плановых обновлений.
Поблагодарили: reva554, tigr120, topinant, Veronica, Винни Пух, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #37 : 10 Май 2018, 21:04 »
В ядрах всех крупных ОС обнаружена опасная уязвимость
Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Уязвимость CVE-2018-8897 может быть проэксплуатирована путем внедрения вредоносного ПО на устройство или авторизованным в системе злоумышленником. Согласно предупреждению специалистов координационого центра CERT, судя по всему, проблема вызвана неправильным пониманием разработчиков из Microsoft, Apple и других компаний некоторых инструкций в руководствах Intel и AMD, в частности, метода, используемого процессорами для обработки определенного исключения.

Речь идет об инструкциях MOV SS и POP SS, которые запрещают все прерывания, включая NMI (немаскируемые прерывания), до тех пор, пока не выполнится следующая команда. Если после применения команды MOV к регистру SS или POP к SS следуют инструкции SYSCALL, SYSENTER, INT 3 и т.д., передающие контроль с текущим уровнем привилегий (< 3) операционной системе, вызывается исключение отказ отладки (#DB), что может привести к неожиданному поведению системы. Таким образом, в определенных обстоятельствах после использования определенных инструкций Intel x86-64 исключение отладки, указывающие на данные в нижнем кольце защиты (для большинства ОС это 0-е кольцо защиты (Ring 0) - ядро ОС, системные драйверы), доступно компонентам ОС с 3-м уровнем привилегий (прикладные программы, запускаемые пользователем). Таким образом атакующий может использовать API операционной системы для доступа к памяти или низкоуровневым функциям ОС.

Уязвимости подвержены решения следующих производителей: Apple, DragonFly BSD Project, FreeBSD Project, ядро Linux, Microsoft, Red Hat, SUSE Linux, Ubuntu, VMware, Xen.

Разработчики уже устранили проблему в ядре Linux с выпуском версий 4.15.14, 4.14.31, 4.9.91, 4.4.125, а также в более ранних ветках 4.1, 3.16 и 3.2. Соответствующие обновления выпустили Red Hat , Ubuntu и Apple . Microsoft исправила уязвимость с выпуском Windows 10 April 2018 Update (версия 1803). Также доступны патчи для Xen 4.6 - 4.10 и FreeBSD .

 
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Поблагодарили: reva554, Veronica, topinant, Винни Пух, Grafff, Gerda

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #38 : 21 Август 2018, 15:33 »
Новая техника Turning Tables позволяет обойти защиту ядра Windows
Исследователи безопасности из компании enSilo обнаружили новую технику под названием Turning Tables, позволяющую обойти защиту ядра операционной системы Windows. Техника заключается в использовании таблицы страниц Windows.

Таблицы страниц представляют собой метод структурирования данных в операционных системах, использующийся для хранения сопоставлений между виртуальной и физической памятью. Виртуальные адреса используются программами, выполняемыми ОС, а физические - аппаратными компонентами.

Поскольку физическая память (ОЗУ) ограничена, операционные системы создают так называемые «общие кодовые страницы», где несколько процессов могут хранить один и тот же код и при необходимости обращаться к нему.

По словам исследователей, техника Turning Tables основывается на разработке вредоносного кода, который через «общие кодовые страницы» вмешивается в выполнение других процессов. Turning Tables позволяет злоумышленникам повышать привилегии своего кода до более высоких уровней, таких как SYSTEM. Данная техника также может использоваться для изменения приложений, работающих в режиме песочницы, например браузера Chrome.

Помимо этого, macOS и Linux теоретически также уязвимы для данной техники. В настоящее время данное предположение еще не было проверено на практике.

Техника позволяет обойти все меры безопасности ядра, которые Microsoft добавила в ОС Windows в последние годы. Специалисты уже уведомили производителя ОС о своей находке.
Эксперты представили обнаруженную ими технику на конференции безопасности BSides в Лас-Вегасе, состоявшейся в начале текущего месяца.
Поблагодарили: bylyl, MKV, reva554, topinant, Винни Пух, Grafff, Gerda, Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #39 : 20 Сентябрь 2018, 06:58 »
Малоизвестная функция в Windows ставит под угрозу конфиденциальность данных
Файл WaitList.dat собирает текст из всех документов, проиндексированных индексатором службы Microsoft Windows Search.

Специалист в области компьютерной криминалистики Барнаби Скеггс (Barnaby Skeggs) обратил внимание на одну из функций в ОС Windows, которая может представлять угрозу конфиденциальности данных. В частности, проблема затрагивает владельцев устройств на базе версий Windows с поддержкой сенсорного экрана, где включена функция распознавания рукописного текста (впервые появилась в Windows 8).

Речь идет о файле WaitList.dat, который призван улучшить работу функционала. С помощью данного файла система распознает текст и предлагает правки слов, используемых чаще всего. Проблема заключается в том, что при активации функции распознавания WaitList.dat собирает текст из всех документов (файлы Office, электронные письма и т.д.), проиндексированных индексатором службы Microsoft Windows Search.

Пользователю даже не нужно открывать файл или электронное сообщение, достаточно того, что они сохранены на диске, а формат файла поддерживается индексатором, пояснил Скеггс в интервью изданию ZDNet. В большинстве случаев, с которыми сталкивался эксперт, файл WaitList.dat содержал фрагмент текста из каждого документа или электронного письма, даже если исходные файлы уже были удалены. В 2016 году специалист уже пытался привлечь внимание общественности к проблеме, однако тогда его сообщение прошло практически незамеченным.
Скеггс привел несколько сценариев эксплуатации данной функции злоумышленниками. К примеру, если у атакующего есть доступ к целевой системе, WaitList.dat предоставляет альтернативный способ сбора паролей и иной конфиденциальной информации.

WaitList.dat не представляет опасности, если функция распознавания рукописного текста не включена, но даже если она активирована, для использования файла в своих целях злоумышленнику потребуется инфицировать систему вредоносным ПО или получить к ней физический доступ.

Согласно Скеггсу, данный файл расположен в каталоге C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat.

Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.
Поблагодарили: Grafff, topinant, Gerda, Винни Пух, Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #40 : 09 Октябрь 2018, 22:15 »
Найден способ обхода защиты Windows 10 от вымогателей
Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска.

Исследователь в области кибербезопасности Соя Аояма продемонстрировал метод обхода функции защиты от программ-вымогателей Controlled Folder Access («Контролируемый доступ к папкам»), представленной в Windows 10. Данный функционал, являющийся частью Windows Defender, служит для предотвращения модификации неизвестными приложениями файлов в защищенных папках. Изменения могут осуществляться только программами из «белого» списка, помеченными как таковые пользователем или по умолчанию Microsoft.

Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска. Поскольку Explorer по умолчанию находится в белом списке, внедренная в него DLL-библиотека получит возможность обойти защиту Controlled Folder Access. Как пояснил исследователь, explorer.exe загружает DLL-библиотеки из списка ключа реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers. По умолчанию при запуске Explorer загружает Shell.dll из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32. Для внедрения вредоносной DLL-библиотеки Аояма просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и установил в качестве значения вредоносный файл. Таким образом, при перезапуске explorer.exe вместо Shell.dll будет запускаться вредоносная DLL-библиотека.

Более подробно метод описан в видео ниже.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
При тестировании атака осталась незамеченной не только антивирусом Windows Defender, но и другими защитными решениями, включая Avast, ESET, Malwarebytes Premium и McAfee (все продукты имеют функцию защиты от вымогательского ПО).

Перед выступлением на конференции DerbyCon Аояма предоставил Microsoft информацию об уязвимости, включая PoC-код, однако в компании не посчитали нужным выплачивать специалисту награду или выпускать соответствующий патч. Представители Microsoft обосновали решение тем, что проблема может быть проэксплуатирована в случае, если компьютер уже скомпрометирован. Кроме того, атака затрагивает только одну жертву и не предоставляет возможность повышения привилегий.
Поблагодарили: MKV, Винни Пух, Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #41 : 13 Октябрь 2018, 20:55 »
Патч для уязвимости в Microsoft JET Database Engine является неполным
Октябрьское обновление от Microsoft заново открыло уязвимость, закрытую временным микропатчем от Acros Security.

Несмотря на выход соответствующего патча, в СУБД Microsoft JET Database Engine по-прежнему существует критическая уязвимость, позволяющая удаленно выполнить произвольный код в контексте текущего процесса.

Уязвимость CVE-2018-8423 была обнаружена и публично раскрыта в рамках программы TrendMicro Zero Day Initiative 20 сентября нынешнего года до того, как Microsoft успела ее исправить. До выхода официального исправления пользователям был доступен временный микропатч, выпущенный Acros Security в течение суток после публикации исследователями TrendMicro PoC-эксплоита. Временное исправление было доступно бесплатно через платформу 0Patch.

На прошлой неделе в рамках «вторника исправлений» Microsoft выпустила официальный патч для CVE-2018-8423. Тем не менее, по словам главы Acros Security Мити Колсека (Mitja Kolsek), решение от Microsoft является неполным и не исправляет уязвимость, а только ограничивает возможности по ее эксплуатации.

Колсек обнаружил неполноценность патча, сравнив его с временным микропатчем, выпущенным Acros Security в сентябре. Acros Security уже сообщила Microsoft о проблеме, и решила пока не раскрывать ее суть широкой общественности.

«Как бы то ни было, мы выпустили исправление для патча Microsoft. По иронии судьбы, октябрьское обновление заново открыло уязвимость CVE-2018-8423 на системах, ранее уже защищенных нашим микропатчем», - сообщил Колсек.
Поблагодарили: Винни Пух, Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #42 : 13 Октябрь 2018, 20:57 »
Опубликован эксплойт для критической уязвимости в Microsoft Edge
Исследователь в области кибербезопасности Абдульрахман Аль-Кабанди опубликовал PoC-код для уязвимости CVE-2018-8495 в браузере Microsoft Edge, позволяющей удаленно выполнить код.

Эксплоит включает коды HTML и JavaScript и может быть размещен на любом сайте. По словам разработчика, для успешной атаки злоумышленнику потребуется всего лишь заставить пользователя посетить вредоносный сайт с эксплоитом через браузер Edge, а затем нажать клавишу Enter. Как только жертва отпустит палец с кнопки, запустится код и выполнит скрипт Visual Basic через сервер сценариев Windows (Windows Script Host, WSH).

В текущем виде PoC-код запускает только калькулятор, но при наличии соответствующих навыков злоумышленники могут модифицировать скрипт для выполнения более опасных операций, например, незаметной загрузки и установки вредоносных программ.

В минувший вторник компания Microsoft выпустила плановые обновления, устраняющие в общей сложности 49 уязвимостей в различных продуктах, в том числе вышеуказанную. По словам представителей корпорации, случаи эксплуатации проблемы до выхода патчей зафиксированы не были.

Поблагодарили: topinant, Винни Пух, Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #43 : 19 Октябрь 2018, 19:20 »
Найден простой способ сохранения присутствия на ПК Windows
ехника RID Hijacking основана на эксплуатации одного из параметров учетных записей Windows.

Исследователь в области безопасности Себастьян Кастро (Sebastián Castro) описал метод, позволяющий получить права администратора на компьютере под управлением ОС Windows и сохранить присутствие на системе после ее перезагрузки. Техника, получившая название RID Hijacking, весьма проста в использовании и основана на эксплуатации одного из параметров учетных записей Windows.

Речь идет об уникальных для каждой учетной записи числах, называемых относительными идентификаторами (Relative Identifier, RID). Для встроенных аккаунтов RID предопределены, к примеру, у учетной записи администратора RID всегда равен 500, а у гостевой учетной записи - 501.

Кастро обнаружил, что изменив ключи реестра, хранящие информацию о каждой учетной записи Windows, возможно модифицировать связанный с аккаунтом идентификатор и присвоить ему другой RID. С помощью данной техники невозможно удаленно заразить систему, но если у злоумышленника уже имеется доступ к компьютеру, он может присвоить права администратора учетной записи низкого уровня и таким образом получить доступ с полными системными привилегиями. Поскольку значения ключей реестра сохраняются после перезагрузки, сохраняются также и любые изменения RID учетной записи.

Метод был успешно протестирован на системах под управлением различных версий Windows - от XP до 10 и от Server 2003 до Server 2016. Теоретически, техника может работать и на компьютерах, использующих более ранние версии ОС.

По словам исследователя, рядовой пользователь вряд ли заметит атаку, но ее можно легко обнаружить при проведении компьютерной экспертизы, правда, нужно знать, что искать.

«Стал ли компьютер жертвой RID hijacking возможно проверить, проанализировав реестр Windows и проверив несоответствия в Диспетчере учетных записей безопасности», - отметил эксперт в интервью изданию ZDNet. К примеру, на вмешательство может указывать RID 500, установленный в гостевой учетной записи.

Примечательно, что Кастро описал данную технику еще в декабре прошлого года, однако его публикация не привлекла внимания ни СМИ, ни, как ни странно, злоумышленников, которые обычно весьма оперативно берут на вооружение подобные техники. Эксперт проинформировал о своей находке Microsoft, однако компания проигнорировала его сообщение и не исправила уязвимость.

Ниже представлено видео с демонстрацией техники RID hijacking.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Поблагодарили: Wasek, Veronica

Онлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 65522
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #44 : 24 Октябрь 2018, 19:59 »
Опубликован PoC-код для неисправленной уязвимости в Windows
Второй раз за последние два месяца исследователь в области безопасности, известный в Сети как SandboxEscaper, раскрыл в Twitter информацию об уязвимости повышения привилегий в Windows, затрагивающей новые версии ОС, в том числе Windows 10 (все редакции, включая последнюю сборку October 2018 Update), Server 2016 и Server 2019. PoC-код для эксплуатации проблемы размещен на GitHub.

Уязвимость связана со службой совместного доступа к данным (Microsoft Data Sharing, dssvc.dll) и позволяет атакующему повысить привилегии на скомпрометированной системе. Проблеме не подвержены версии Windows 8.1 и более ранние.

Опубликованный PoC-код удаляет файлы, для стирания которых обычно требуются права администратора. С соответствующими модификациями скрипт может использоваться и для других действий, полагают специалисты, проанализировавшие эксплоит. Вместе с тем эксперты предостерегают от запуска скрипта, поскольку он может привести к удалению критически важных файлов и вызвать сбой в работе системы.

В конце августа SandboxEscaper уже публиковал информацию о похожей уязвимости в Windows, также предоставив соответствующий PoC-код. Уязвимость затрагивала планировщик задач Windows и была связана с обработкой ALPC. Производитель устранил проблему в сентябре с выпуском плановых обновлений безопасности.

Как и в предыдущем случае, специалисты компании ACROS Security разработали временный патч (так называемый 0Patch) для новой уязвимости. Сейчас они работают над портированием «микропатча» на все подверженные проблеме версии Windows. Когда будет доступно официальное обновление от Microsoft, в настоящее время неизвестно.