Захист від здирників в Windows 10 можна обійти за допомогою звичайного «Провідника». Опитування


Мануалы / Суббота, Декабрь 15th, 2018
Ротару:и даже после 45 лет Ваша кожа будет свежей и подтянутой, если...

Добавляю 1 каплю и СЕКС с мужем длится по 2-3 часа. Потенция железная!

Почему все аптеки молчат? Грибок ногтя боится как огня дешевого...

При простатите и вялой потенции никогда не трогайте свой...

Вам кричу! Если ноют колени и тазобедренный сустав cразу убирайте из рациона...

Ін’єкція DLL в «Провідник»

Японський дослідник безпеки з Fujitsu Соя Аояма (Soya Aoyama) виявив уразливість в Windows 10, яка дозволяє обійти вбудовану в систему захист від троянів-вимагачів Controlled folder access (CFA, «контрольований доступ до папок») шляхом здійснення ін’єкції шкідливої динамічної бібліотеки (DLL) в довірена додаток «Провідник».

Функція Controlled folder access, що вперше з’явилася в Windows 10, дозволяє запобігати зміна файлів невідомими програмами в захищених папках завдяки створенню «білого списку» додатків, яким дозволено модифікувати певні папки і файли в них. Таким чином, інші додатки, які опинилися поза списком довірених, позбавляються прав на зміну захищених файлів.

Ротару:и даже после 45 лет Ваша кожа будет свежей и подтянутой, если...

Добавляю 1 каплю и СЕКС с мужем длится по 2-3 часа. Потенция железная!

Почему все аптеки молчат? Грибок ногтя боится как огня дешевого...

При простатите и вялой потенции никогда не трогайте свой...

Вам кричу! Если ноют колени и тазобедренный сустав cразу убирайте из рациона...

За замовчуванням в «білому списку» знаходяться деякі програми Microsoft, в тому числі і «Провідник», представлений в файлової системі у вигляді виконуваного файлу explorer. exe. Знаючи це і те, що при запуску explorer. exe завжди завантажує бібліотеки, перераховані в розділі HKEY_CLASSES_ROOT \ * \ shellex \ ContextMenuHandlers системного реєстру Windows, Аояма без зусиль зміг впровадити шкідливу бібліотеку в систему.

Структура HKEY_CLASSES_ROOT є результат злиття даних, виявлених системою в розділах HKEY_LOCAL_MACHINE (настройки, що поширюються на всіх користувачів даної системи) і HKEY_CURRENT_USER (поширюються тільки на її поточного користувача). При виконанні злиття дані з HKEY_CURRENT_USER мають пріоритет. Таким чином, досить додати посилання на шкідливу бібліотеку в розділ реєстру для поточного користувача, щоб вона довантажувати щоразу при запуску «Провідника».

Фахівець також зазначив, що Windows Defender ( «Захисник Windows»), вбудований в операційну систему, і антивіруси ніяк не відреагували на вироблені їм маніпуляції. Потенційну загрозу повністю проігнорували антивіруси з вбудованим захистом від вірусів-вимагачів, такі як Avast, Eset, Malwarebytes Premium і McAfee.

Реакція Microsoft

Перш ніж розповісти про виявленої уразливості широкому загалу, Аояма відправив інформацію про неї в центр безпеки Microsoft. Однак співробітники компанії не вважали за працездатність описаного методу обходу вбудованих в ОС механізмів захисту проблемою, яка потребує вирішення.

Фахівцю пояснили, що для здійснення атаки у зловмисника повинен бути локальний доступ до комп’ютера жертви. Також запропонований метод не дозволяє торкнутися інших користувачів, крім того, до чиєї машині доступ вже отримано. Нарешті, спосіб не дозволяє атакуючому підвищити власні привілеї в системі, оскільки він користується тим же рівнем прав, що і мета атаки.

Проте, як зазначив Аояма, програмами-здирникам зовсім і не потрібні особливі права, щоб зашифрувати файли користувача, а потім вимагати викупу за їх відновлення. Так, вони можуть знадобитися для видалення «тіньових копій», щоб користувач не зміг відновити початковий вигляд файлової системи до зараження здирником, але потенційний зловмисник може скористатися іншим методом або експлоїтом для досягнення своєї мети.

Ротару:и даже после 45 лет Ваша кожа будет свежей и подтянутой, если...

Добавляю 1 каплю и СЕКС с мужем длится по 2-3 часа. Потенция железная!

Почему все аптеки молчат? Грибок ногтя боится как огня дешевого...

При простатите и вялой потенции никогда не трогайте свой...

Вам кричу! Если ноют колени и тазобедренный сустав cразу убирайте из рациона...