Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Уязвимости ОС Windows  (Прочитано 11532 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #15 : 03 Февраля 2017, 20:19 »
Опубликован эксплоит для уязвимости нулевого дня в Microsoft Windows
Проблема затрагивает Windows 10, 8.1, Server 2012 и Server 2016.
В протоколе SMBv3 (Server Message Block) обнаружена уязвимость нулевого дня, позволяющая вызвать отказ в обслуживании ОС Windows и потенциально выполнить произвольный код с привилегиями ядра. Проблема затрагивает ряд версий операционной системы, в том числе Windows 10, 8.1, Server 2012 и Server 2016. PoC-эксплоит для уязвимости опубликован на портале GitHub.
Проблема существует из-за некорректной обработки операционной системой Windows трафика с вредоносного SMB-сервера. В частности, Windows осуществляет некорректную обработку ответа сервера, содержащего слишком большое количество байт, следуя структуре, указанной в SMB2 TREE_CONNECT Response. Подключение уязвимого клиента Windows к вредоносному SMB-серверу приведет к ошибке в драйвере mrxsmb20.sys, сообщается в предупреждении специалистов US-CERT.
В настоящее время патч, исправляющий уязвимость, недоступен. В качестве временной меры для предотвращения эксплуатации проблемы эксперты рекомендуют блокировать исходящие SMB-соединения (порты TCP 139/445 и UDP 137/138).
В середине января нынешнего года группировка Shadow Brokers выставила на продажу архив, содержащий хакерские инструменты и эксплоиты для уязвимостей в Windows, похищенные у связанной с АНБ группы Equation Group. В числе прочих в списке фигурирует эксплоит для уязвимости нулевого дня в протоколе SMB. По всей видимости, речь идет о проблеме, описанной выше. За данный эксплоит хакеры просят 250 биткойнов. Несмотря на предыдущие заявления о намерении отойти от дел, участники группировки не теряют надежду заработать на похищенных инструментах для взлома. 

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #16 : 15 Февраля 2017, 15:49 »
Уязвимость в Windows 10 Mobile предоставляет доступ к фото в обход экрана блокировки
Любому желающему не составит труда проэксплуатировать уязвимость.
Эксперты WindowsTeam сообщили об уязвимости в Windows 10 Mobile, позволяющей обойти экран блокировки мобильного устройства и получить доступ к галерее. Проблема не затрагивает последнюю превью-версию Windows 10 Mobile Redstone 2.
Проэксплуатировать уязвимость проще простого. Достаточно лишь открыть камеру на экране блокировки, сделать снимок, а затем открыть его, нажав на его миниатюру в левом нижнем углу экрана. После открытия фотографии ее следует удалить, нажав на иконку в виде мусорной корзины, а затем нажать на кнопку «назад». Миниатюра потемнеет, после чего на нее нужно снова нажать, как будто вы хотите просмотреть фото. Далее следует нажать «назад» и снова попытаться открыть изображение, нажав на потемневшую миниатюру. Если повторить эти действия три раза, откроется галерея.
Безусловно, вряд ли многим пользователям самим придет в голову проделывать нечто подобное. Тем не менее, информация об уязвимости уже доступна, и множество владельцев мобильных устройств могут стать потенциальными жертвами злоумышленников. Исследователи уже сообщили о проблеме компании Microsoft.
Поблагодарили: Dovf, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #17 : 18 Февраля 2017, 22:30 »
Компания Google решила проучить Microsoft и разместила в открытом доступе подробные данные об уязвимости нулевого дня.

Информация о последнем найденном недочёте была отправлена в главный штаб Microsoft  3 месяца назад, но компания проигнорировала эти данные и до сих пор не исправила ошибку. Такое поведение разработчиков Windows не понравилось представителям Google и последние решили опубликовать в сети подробные факты об уязвимости нулевого дня.

Учитывая то, что воспользоваться этой «лазейкой» можно лишь при физическом доступе к компьютеру, обычным пользователям это вряд ли нанесёт какой-либо ущерб. Но вот насчёт больших корпораций, в которых насчитываются сотни компьютеров и куда могут пробраться злоумышленники, нельзя говорить однозначно. Уязвимость нулевого дня позволяет хакерам воровать информацию из памяти любого приложения, которое использует “дырявую” библиотеку. Причём под угрозой находятся все Windows от Vista до 10.

Отметим, что Google уже не впервые  намеревается проучить Microsoft. Однако в прошлый раз подобная практика проводилась после 10 дней игнорирования проблемы от разработчиков Windows. В данном же случае, Microsoft даже не пытается устранить уязвимость в течении 90 дней.
Поблагодарили: Dovf, topinant, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #18 : 20 Февраля 2017, 20:49 »
Google снова раскрыла данные об уязвимости в Windows до выхода патча
Уязвимость позволяет атакующему прочитать содержимое памяти с помощью вредоносного EMF-файла.
Инженеры Google уже второй раз за последние три месяца обнародовали информацию об уязвимости в ОС Windows до выпуска соответствующего обновления безопасности. Речь идет о проблеме в компоненте Windows GDI (Graphics Device Interface), затрагивающей библиотеку gdi32.dll.
Согласно предупреждению команды Google Project Zero, указанная уязвимость (CVE-2017-0038) позволяет атакующему прочитать содержимое памяти при помощи специально сформированного EMF-файла. Злоумышленник может проэксплуатировать проблему локально в браузере Internet Explorer и удаленно в Office Online, используя вредоносный EMF-файл.
Уязвимость CVE-2017-0038 была обнаружена в марте 2016 года и исправлена вместе с рядом других проблем в июне 2016 года с выходом обновления безопасности MS16-074. Однако патч оказался неэффективным, в связи с чем несколько уязвимостей продолжают оставаться актуальными. Первый отчет о CVE-2017-0038 был представлен в ноябре 2016 года и спустя 90 дней, 14 февраля, Google его обнародовала. Стоит отметить, что именно 14 февраля должен был состояться плановый выпуск обновлений безопасности Microsoft, однако в последние минуты релиз был отложен.
Напомним, в начале ноября минувшего года Google обнародовала информацию об уязвимости нулевого дня в Windows 10 до выпуска корректирующего обновления безопасности. Данная проблема была исправлена Microsoft в том же месяце.
Эксперты Google не сообщили о способах предотвращения эксплуатации CVE-2017-0038. Пользователи Windows будут оставаться под угрозой до 15 марта нынешнего года, когда Microsoft выпустит февральские и мартовские обновления безопасности.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #19 : 27 Февраля 2017, 16:14 »
Google продолжает раскрывать данные об уязвимостях до выхода патчей
Специалисты обнародовали подробности о проблеме в Microsoft Edge и IE, позволяющей удаленно выполнить код.
Компания Google в очередной раз раскрыла информацию об уязвимости до релиза соответствующего обновления безопасности. На прошлой неделе специалисты команды Google Project Zero обнародовали данные о проблеме в компоненте Windows GDI (Graphics Device Interface), затрагивающей библиотеку gdi32.dll, а в этот раз опубликовали информацию об уязвимости в браузерах Microsoft Edge и Internet Explorer.
Речь идет о проблеме типа type confusion (путаница типов данных) в модуле Edge и IE, позволяющей удалено выполнить код. Уязвимость, получившая идентификатор CVE-2017-0037, затрагивает версии Windows 7, Windows 8.1 и Windows 10. Это уже третья уязвимость в Windows, обнародованная Google за последний месяц.
Помимо подробностей о проблеме, специалист Google Айван Фратрик (Ivan Fratric) также опубликовал PoC-эксплоит, позволяющий вызвать отказ в обслуживании Microsoft Edge и Internet Explorer, выполнить произвольный код и получить права администратора на целевой системе. Фратрик успешно опробовал эксплоит на 64-разрядной версии IE в Windows Server 2012 R2. По его словам, атака также затрагивает 32-битные версии IE 11 и Microsoft Edge.
Напомним, ранее Microsoft отложила выпуск февральских обновлений безопасности в связи с проблемой, обнаруженной в последние минуты перед релизом.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #20 : 20 Марта 2017, 18:40 »
Новая техника позволяет получить доступ к профилям Windows менее чем за минуту
Метод работает на всех версиях Windows и не требует специальных привилегий.
Исследователь безопасности Александр Коржников описал технику, позволяющую получить доступ к любой учетной записи на том же компьютере без знания пароля. Метод работает на всех версиях Windows и не требует специальных привилегий.
Идея заключается в том, что пользователь с правами локального администратора может использовать встроенную Командную строку для повышения своих прав и перехвата сессии другого пользователя, за которым закреплено больше привилегий. В конечном итоге администратор получает полный доступ к возможностям учетной записи. Атака занимает не более одной минуты и может быть осуществлена как с физическим доступом к устройству, так и удаленно (через RDP-сессию на взломанном компьютере).
Коржников привел примерный сценарий атаки. К примеру, у сотрудника банка может быть доступ к платежной системе и нужным учетным данным для авторизации в ней. Служащий входит в систему и начинает свою работу. В обед он блокирует рабочую станцию и покидает свое место. Затем системный администратор входит под своей локальной учетной записью. Согласно правилам банка, у администратора нет прав доступа к платежной системе, но при помощи нескольких команд он может перехватить доступ к профилю сотрудника и под его видом производить различные вредоносные действия.
Эксперт успешно протестировал атаку на компьютерах под управлением Windows 7, 10, Server 2008 и Server 2012 R2.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Коржников не сообщил о своих исследованиях Microsoft. «К сожалению, я не знаю, существует ли какой-нибудь патч. Точно так же я не знаю, какие рекомендации могут быть для подобных случаев. Отправка отчета Microsoft и решение проблемы может занять до шести месяцев, а я хочу, чтобы все узнали об этом как можно скорее», - пояснил исследователь.
По словам представителя Microsoft, вышеописанная проблема не является уязвимостью, так как требует локальных прав администратора для эксплуатации.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #21 : 04 Апреля 2017, 20:07 »
Microsoft не будет исправлять уязвимость нулевого дня в Windows
Уязвимость затрагивает больше неподдерживаемую ОС Windows Server 2003, установленную на 600 тыс. компьютеров.
Эксплуатируемая хакерами уязвимость нулевого дня (CVE-2017-7269) затрагивает порядка 600 тыс. компьютеров под управлением Windows по всему миру, однако Microsoft не намерена ее исправлять. Производитель объясняет отсутствие патча тем, что данная версия ОС больше не поддерживается.
Исследователи Южно-китайского технологического университета обнаружили уязвимость в Windows Server 2003 и опубликовали PoC-код эксплоита на GitHub. Проблема эксплуатируется с середины 2016 года, однако о ней стало широко известно только на прошлой неделе, когда все больше хакеров стали работать над своими эксплоитами.
Уязвимость присутствует в компоненте IIS WebDAV и может быть проэксплуатирована с помощью специально сконфигурированного запроса с использованием команды PROPFIND. С ее помощью злоумышленник может вызвать отказ в обслуживании или выполнить произвольный код.
Проблема ставит под угрозу сотни тысяч компьютеров по всему миру, однако Microsoft остается непреклонной и не будет выпускать обновление. Компания не поддерживает Windows Server 2003 с 2015 года с целью подстегнуть пользователей к установке более новых версий ОС.
Данная уязвимость является ярким примером угрозы безопасности информации предприятий, использующих устаревши версии ПО. В случае невозможности отказаться от Windows Server 2003 рекомендуется отключить WebDAV.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #22 : 21 Апреля 2017, 20:15 »
Число зараженных систем стремительно растет после публикации эксплоитов для Windows
Скрипт-кидди» вооружились эксплоитами АНБ и взламывают все на своем пути.
В прошлую пятницу хакеры опубликовали инструменты для взлома Windows, предположительно используемые секретным хакерским подразделением Агентства национальной безопасности США Equation Group. Как сообщает издание The Register со ссылкой на эксперта Дэна Тентлера (Dan Tentler), с момента публикации данные инструменты использовались для взлома тысяч компьютеров под управлением Windows.
По словам исследователя, с 14 апреля текущего года существенно возросло количество систем, инфицированных ПО DOUBLEPULSAR. Взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, осуществления кибератак и т.д.
DOUBLEPULSAR представляет собой бэкдор, предназначенный для внедрения и запуска вредоносного ПО. Бэкдор устанавливается на атакуемой системе с помощью эксплоита ETERNALBLUE, атакующего файлообменные сервисы в версиях Windows от XP до Server 2008 R2, использующие протокол SMB. DOUBLEPULSAR и ETERNALBLUE были опубликованы в интернете на прошлой неделе и теперь доступны любому желающему.
Microsoft исправила уязвимость в SMB в прошлом месяце, однако, как известно, далеко не все спешат устанавливать обновления. Патч доступен для Windows Vista SP2, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2008 SP2, Windows Server 2008 R2 SP1, Windows Server 2012 и Windows Server 2012 R2, Windows Server 2016 и Server Core. Windows XP и Windows Server 2003 по-прежнему уязвимы, поскольку Microsoft прекратила их поддержку.
По данным поисковой системы Shodan, инфицированными являются 15 196 систем, и пять четвертей из них приходятся на США. С каждым следующим сканированием количество зараженных компьютеров увеличивается. Инфицированные DOUBLEPULSAR системы можно идентифицировать по тому, как они отвечают на определенный пинг порта 445.
По словам Тентлера, происходящее можно смело назвать «кровавой баней». Эксперт выразил надежду, что стремительный рост заражений наконец-то заставит пользователей установить обновления. Как отметил Тентлер, когда в пасхальные выходные группировка The Shadow Brokers опубликовала инструменты Equation Group для взлома Windows, «скрипт-кидди» по всему миру ухватились за них и с упоением рванулись инфицировать все на своем пути.
Поблагодарили: Dovf, Юрген, reva554, topinant, Винни Пух, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #23 : 09 Мая 2017, 19:04 »
В Windows обнаружена худшая за последнее время критическая уязвимость
Два ИБ-эксперта Google обнаружили критическую уязвимость в Windows, позволяющую удаленно выполнить код. Работающие в Project Zero исследователи Натали Силванович (Natalie Silvanovich) и Тэвис Орманди (Tavis Ormandy) охарактеризовали проблему, как «худшую на их памяти уязвимость в Windows, позволяющую удаленно выполнить код».
Эксперты не предоставили никаких подробностей, а только опубликовали несколько довольно туманных твитов. «Это до ужаса плохо. Отчет в процессе», - сообщил Орманди в Twitter в прошлую субботу. Тем не менее, по многочисленным просьбам сообщества, эксперт раскрыл несколько подробностей об уязвимости:
Для успешного осуществления атаки атакующий и жертва необязательно должны находиться в одной локальной сети.
Атаку можно осуществить на Windows с настройками по умолчанию. То есть, на атакуемой системе не требуется устанавливать дополнительное ПО.
Атака является самовоспроизводящейся (подобно червю).
Сообщения об уязвимости появились за несколько дней до выхода плановых ежемесячных обновлений Microsoft. Проблема может быть исправлена уже 9 мая, и тогда эксперты смогут предоставить больше подробностей об уязвимости.
 PS
Microsoft выпустила срочное внеплановое обновление, исправляющее уязвимость в Microsoft Malware Protection Engine (MMPE). Проблема затрагивает Windows 7, 8.1, RT и 10, а также Windows Server 2016.
Поблагодарили: Dovf, topinant, reva554, Nik, Винни Пух, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #24 : 27 Мая 2017, 06:45 »
Представлен очередной способ обхода Windows AppLocker
Обойти Windows AppLocker можно с помощью кастомизированного элемента панели управления Windows.
Хакер или нечистый на руку сотрудник компании может создать и зарегистрировать специальные элементы панели управления Windows для обхода защиты с помощью Windows AppLocker. Метод, представленный исследователем безопасности Франческо Мифсудом (Francesco Mifsud), базируется на использовании файлов CPL, представляющих собой модифицированные DLL-файлы, загружающие элементы панели управления.
Элементы панели управления не являются фиксированными, и установщики ПО могут создавать свои собственные. К примеру, после установки видеодрайвера на панели управления появляется иконка, позволяющая управлять его настройками. Икона является файлом CPL, и при каждой его загрузке компьютер запускает control.exe name.cpl.
Список всех файлов CPL хранится в ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs. По словам Мифсуда, злоумышленник может модифицировать значение данного ключа реестра и создать собственный элемент панели управления для запуска cmd.exe и выполнения вредоносных команд.
Windows AppLocker блокирует непосредственный доступ к cmd.exe, однако это ограничение можно обойти с помощью кастомизированного элемента панели управления. Аналогичным образом можно запустить PowerShell и другие утилиты Windows.
Windows AppLocker – компонент в Windows 7 и Windows Server 2008 R2, позволяющий указывать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. При использовании AppLocker можно создать правила, разрешающие или запрещающие запуск приложений.
CPL – элемент панели управления Windows (Windows Control Panel Item). Расширение CPL связано с различными панелями управления, такими как панели управления дисплеем, консолью, мышью, свойством браузера, звуком, почтой и т.д.
cmd.exe – интерпретатор командной строки для OS/2, Windows CE и ОС, базирующихся на Windows NT. cmd.exe является аналогом COMMAND.COM.
Поблагодарили: Винни Пух, topinant, Dovf, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #25 : 27 Мая 2017, 09:26 »
Ошибка в NTFS позволяет вызвать аварийное завершение работы Windows 7
Проэксплуатировать проблему проще простого.
Ошибка в файловой системе NTFS позволяет злоумышленникам вызвать зависание или аварийное завершение работы компьютеров под управлением Windows Vista, Windows 7 или Windows 8.1. Для этого им всего лишь нужно заставить жертву попытаться открыть несуществующий файл по особым образом созданному пути доступа.
Проблема была обнаружена и подробно описана на сайте «Хабрахабр» российским исследователем под псевдонимом Anatolymik. Злоумышленники могут проэксплуатировать ошибку, либо заставив пользователя открыть несуществующий файл непосредственно с помощью команды Run, либо незаметно загрузив путь доступа к нему на web-страницу в качестве URL изображения. Примечательно, баг работает в браузерах Internet Explorer и Firefox, но не работает в Chrome.
Причина возникновения проблемы кроется в файле $MFT. Этот файл является самым важным в разделе диска, поскольку отслеживает все файлы на томе, их физическое местоположение на жестком диске, логическое расположение внутри папок и всевозможные метаданные. Пользователи не могут открыть файл, поскольку это может привести к разрушению всех данных.
По словам Anatolymik, если использовать имя файла $MFT в качестве имени директории (C:\$MFT\foo), можно вызвать зависание или аварийное завершение работы Windows. Если система зависла, единственный способ решить проблему — перезагрузить компьютер.
NTFS (New Technology File System — «файловая система новой технологии») — стандартная файловая система для семейства операционных систем компании Microsoft. NTFS поддерживает хранение метаданных.
MFT (Master File Table — «Главная файловая таблица») — главная файловая таблица, хранящая информацию о содержимом тома с NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #26 : 07 Июня 2017, 22:12 »
46% уязвимостей нулевого дня эксплуатировались в продуктах Microsoft
С 2006 по 2016 год было обнаружено 334 уязвимости нулевого дня.
Целенаправленные атаки на компании и государственные структуры уже давно не редкость. Чуть ли не каждый день мы узнаем о вредоносной активности или утечке данных, а также читаем о кибершпионаже, в котором обвиняются по очереди то российские, то китайские хакеры. Однако не всегда злоумышленникам удается просто проникнуть в корпоративную сеть и похитить важные данные. В самых сложных случаях применяются ранее никому неизвестные уязвимости – уязвимости нулевого дня.
Эксплоиты к уязвимостям нулевого дня стоят достаточно дорого и используются далеко не в каждой атаке. Более того, в СМИ этот термин настолько обобщен, что многие журналисты называют любую новую уязвимость – уязвимостью нулевого дня.
Согласно исследованию проекта Zero-day vulnerability tracking project, уязвимости нулевого дня использовались в 44 известных хакерских кампаниях, направленных на корпоративный и государственный секторы в различных странах. Самой масштабной кампанией называется Operation Aurora, в ходе которой использовалось 8 различных уязвимостей нулевого дня. От действий хакеров пострадали такие известные IT-гиганты как Google, Yahoo, Symantec, Juniper Networks, Adobe.
Согласно опубликованным в исследовании данным, с 2006 по 2016 год злоумышленники успешно использовали 334 уязвимости нулевого дня в целенаправленных и массовых атаках. Самое большое количество уязвимостей нулевого дня (46% или 153 уязвимости) было обнаружено в продуктах Microsoft, что не удивительно, поскольку именно продукты Microsoft являются обычным выбором в государственном и корпоративном секторах.
Из отчета следует, что производители стали уделять больше внимания активно эксплуатируемым уязвимостям. Среднее время между сообщением об уязвимости и выходом исправления безопасности сократилось с 25 дней в 2012 до 1 дня в 2016 году. Среднее время устранения уязвимости нулевого дня составило 17 дней. Это связано в основном с политикой раскрытия информации ИБ-компаний и производителей. За весь подотчетный период информация практически о половине уязвимостей (45,51%) была опубликована в день выхода патча.
В среднем уязвимости, раскрытые сторонними компаниями, устранялись в течение 32 дней.
Поблагодарили: Dovf, topinant, Юрген, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #27 : 07 Августа 2017, 13:48 »
Эксперты изолировали Windows Defender в «песочнице»
Специалисты Trail of Bits опубликовали PoC-код проекта Flying Sandbox Monster.
Microsoft подвергла своих пользователей немалому риску, выпустив антивирус Windows Defender вне «песочницы». Данное решение весьма удивительно, поскольку «песочница» - одна их самых эффективных техник усиления безопасности. Это упущение исправили специалисты компании Trail of Bits, которые опубликовали на GitHub PoC-код проекта Flying Sandbox Monster, представляющего собой помещенную в «песочницу» версию Windows Defender.
Flying Sandbox Monster основан на AppJailLauncher - написанном на Rust фреймворке для помещения ненадежных приложений в AppContainers. Фреймворк также позволяет вынести I/O приложения за TCP-сервер, позволяя приложению работать на другой машине. Это дополнительный уровень изоляции. PoC-код AppJailLauncher также опубликован на GitHub.
Проект Flying Sandbox Monster совместим только с 32-разрядными версиями Windows.
За последние несколько месяцев инженеры команды Google Project Zero выявили ряд уязвимостей в одном из ключевых компонентов Windows Defender - движке MsMpEng. Проэксплуатировав данные проблемы, атакующий мог выполнить код и получить контроль над уязвимыми устройствами.
Windows Defender - программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление вредоносных модулей в операционных системах Microsoft Windows. Windows Defender по умолчанию встроен в операционные системы Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8 и Windows 10.
«Песочница» - специально выделенная среда для безопасного исполнения компьютерных программ.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Поблагодарили: topinant, Безумный Макс, Юрген, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #28 : 08 Сентября 2017, 20:41 »
Ошибка в ядре Windows позволяет обойти решения безопасности
Microsoft не считает программную ошибку в ядре Windows уязвимостью.
Программная ошибка в ядре Microsoft Windows открывает дверь для вредоносного ПО в обход решений безопасности. Как сообщают исследователи компании EnSilo, уязвимость присутствует во всех версиях ОС, начиная от Windows 2000 и заканчивая Windows 10.
«Уязвимость представляет собой программную ошибку в ядре Windows, из-за которой вендоры безопасности не могут определить, какие модули были загружены во время прогона программы», - пояснил эксперт EnSilo Омри Мисгав (Omri Misgav).
Исследователи обнаружили ошибку в механизме PsSetLoadImageNotifyRoutine, используемом некоторыми решениями безопасности для определения, когда в ядро или пространство пользователя был загружен код. С помощью уязвимости злоумышленник может заставить PsSetLoadImageNotifyRoutine вернуть недействительное имя модуля и тем самым выдать вредоносное ПО за легитимное.
Эксперты уведомили Microsoft о своей находке еще в начале текущего года, однако компания не посчитала ее проблемой. Судя по некоторым публикациям в интернете, об ошибке уже известно некоторое время. Тем не менее, причины ее возникновения и последствия никогда раньше не описывались подробно.
Поблагодарили: reva554, Dovf, topinant, Veronica

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #29 : 30 Октября 2017, 21:36 »
Хакеры могут похитить пароли Windows без участия пользователей
Для эксплуатации уязвимости достаточно лишь добавить вредоносный SCF-файл в общедоступную папку Windows.
Уязвимость в Windows позволяет злоумышленникам похищать хеши паролей NTLM без какого-либо участия пользователя. Проэксплуатировать уязвимость довольно легко, и для осуществления атаки не нужны особые технические навыки. Все, что нужно – добавить вредоносный SCF-файл в общедоступную папку Windows.
После добавления в папку файл выполняется, а затем собирает хеши паролей NTLM и отправляет их на подконтрольный злоумышленникам сервер. С помощью легкодоступного ПО атакующие могут взломать хеш и получить доступ к компьютерам жертв. Получив непосредственный доступ к сети, где находится атакуемый компьютер, хакеры способны эскалировать доступ к соседним системам.
Проблема не затрагивает общие папки с парольной защитой. Поскольку пароль является в Windows опцией по умолчанию, многим пользователям нечего опасаться. Тем не менее, в компаниях, школах и других организациях для удобства пользования общие папки паролем не защищены, что делает их уязвимыми.
Уязвимость была обнаружена колумбийским исследователем безопасности Хуаном Диего (Juan Diego). В апреле текущего года Диего сообщил Microsoft о проблеме, и в октябре компания выпустила патч в рамках плановых обновлений. Однако исправление предназначено только для Windows 10 и Windows Server 2016. Остальные версии ОС остаются уязвимыми, поскольку модификации реестра не совместимы с более ранними версиями Windows Firewall.
Как сообщил Диего порталу Bleeping Computer, выпушенный Microsoft бюллетень ADV170014 действительно исправляет проблему, однако исследователь так и не смог определить причину ее появления. «Атака осуществляется автоматически. Причина, делающая ее возможной, до сих пор мне не ясна. Microsoft хранит все в большом секрете», - отметил Диего.
NTLM (NT LAN Manager) – протокол сетевой аутентификации, разработанный фирмой Microsoft для Windows NT.