Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Критически важное ПО Windows содержит фундаментальные ошибки

5.00 star(s) 1 Vote

HADD-NEELS

Избранный
Почетный участник
Joined
10.12.2016
Messages
5,525
Reaction score
11,468
Points
749
КРИТИЧЕСКИ ВАЖНОЕ ПО WINDOWS СОДЕРЖИТ ФУНДАМЕНТАЛЬНЫЕ ОШИБКИ

12.08.19
Исследователи ИБ более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам на пользовательских устройствах и оставаться в системе даже после полного удаления данных.

Как пояснили эксперты, проблема связана с ошибками проектирования компьютерных систем. Некоторые аппаратные ресурсы, включая ядро Windows, должны быть доступны только избранному ПО, чтобы обычные приложения не могли менять критически важные данные. Однако злоумышленники могут воспользоваться упомянутыми драйверами, чтобы осуществить несанкционированные операции в обход систем безопасности Microsoft.

4353

Открытый доступ к ядру устройства
В этом случае драйвер служит ширмой для обеспечения привилегированного доступа к защищенным ресурсам. В числе манипуляций, которые можно провести таким образом, специалисты называют чтение и запись данных процессора и операций ввода/вывода, а также работу с моделезависимыми регистрами (Model-Specific Registers, MSR), физической и виртуальной памятью ядра.

«Это не только обеспечивает злоумышленнику максимальные системные права, но и открывает доступ к программно-аппаратным интерфейсам, которые лежат еще глубже, например к прошивке BIOS», — предупреждают исследователи.

Для атаки взломщику достаточно минимального набора привилегий. Ему нужно установить на устройство вредоносное приложение, которое найдет уязвимый драйвер и далее с его помощью получит дополнительные права. В то же время, если на машине используется безопасное ПО, преступнику понадобится аккаунт администратора, чтобы загрузить и развернуть необходимый драйвер.

Применение уязвимостей в кибератаках
Киберпреступники уже взяли дыры на вооружение. В частности, уязвимостями модуля ядра пользуется , чтобы обойти процедуру проверки легитимных драйверов.
Другой пример —– , который запускается из интерфейса UEFI, обеспечивая операторам надежное закрепление на атакованном компьютере. Избавиться от существующей на этом уровне угрозы невозможно даже с переустановкой ОС.
Исследователи указывают, что проблема связана с нежеланием поставщиков ограничивать возможности драйверов. Вместо того чтобы прописать в коде конкретный набор допустимых операций, разработчики оставляют пространство для маневра, разрешая выполнение произвольных команд от имени пользовательских приложений. Это упрощает разработку ПО, но создает риск неправомерного использования критически важных подсистем.

Ликвидация угрозы
Исследователи сообщили разработчикам аппаратного обеспечения о существующей угрозе. Список производителей включает ASUS, NVIDIA, RealTek, Toshiba и многие другие компании. Некоторые из них, например Intel и Huawei, уже выпустили соответствующие патчи.

Эксперты также работают с Microsoft, чтобы заложить защиту от подобных угроз в фундамент ОС Windows. В частности, специалисты корпорации создадут черный список драйверов, которые открывают возможность несанкционированного доступа. Представители Microsoft призвали пользователей включить на своих машинах систему контроля приложений Защитника Windows, а также средство отслеживания целостности памяти Windows Security.
В апреле разработчики Microsoft две уязвимости, которые позволяли выполнять сторонний код на уровне ядра. Ошибки, присутствовавшие во всех версиях Windows, были связаны с некорректной обработкой объектов в памяти.
 
Last edited:

Top Bottom