NONAMENO.COM

Doppelgänging серьёзная уязвимость которую обнаружили в Windows

Дата: 09.12.2017Просмотров: 230
Doppelgänging серьёзная уязвимость которую обнаружили в Windows

Doppelgänging серьёзная уязвимость которую обнаружили в Windows - несмотря на то, что Microsoft постоянно улучшает механизмы защиты Windows от вредоносных программ, время от времени в ней всё-таки обнаруживаются дыры безопасности.

Windows является одним из самых сложных программных продуктов, поэтому предусмотреть всё просто невозможно. Об одной из таких уязвимостей стало известно вчера на конференции хакеров Black Hat 2017.

Алгоритм Process Doppelgänging, использующий функцию Windows NTFS Transaction, позволяет внедрить в систему вредоносный код и на данный момент не обнаруживается ни одним антивирусом.

Что такое NTFS Transaction

В Windows Vista разработчики Microsoft представили функцию NTFS Transanction, с помощью которой программы могли записывать какие-либо данные на жёсткий диск. Более ранние алгоритмы записи не давали гарантий полного вывода нужной информации.

К примеру, если на диске обнаруживались повреждённые сектора, данные записывались лишь частично, что было не очень удобно для разработчиков ПО.

Всем известно, что обычная банковская транзакция не может пройти частично - деньги либо перечисляются полностью, либо вовсе не перечисляются. На этом же принципе построен и механизм NTFS Transaction - при его использовании система гарантирует, что все данные в полном объёме будут записаны на диск. NTFS Transaction работает следующим образом:

- Windows записывает нужную информацию в отдельную область на диске и следит, чтобы операция прошла успешно.
- Если всё получилось, система перемещает записанные файлы в указанную программой директорию с помощью ссылок.
- Если операция записи закончилась неудачно, Windows пробует вывести информацию в другое место на диске.

На сегодняшний день механизм NTFS Transaction устарел. Microsoft не рекомендует разработчикам использовать NTFS Transaction и предупреждает, что эта функция может исчезнуть из будущих версий Windows.
Как работает Process Doppelgänging

Хакеры обнаружили, что никакие антивирусные программы не следят за областью диска, куда системный механизм NTFS Transaction пробует записать данные. На этом наблюдении и основан алгоритм Process
Doppelgänging:

- Хакер запускает NTFS Trasnsaction в отношении какого-нибудь доверенного исполняемого файла.
- В этот файл внедряется вредоносный код, который создаёт на диске область с файлами вируса.
- NTFS Transaction искусственно прерывается, и Windows возвращает заражённый исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов.
- Хакер запускает вирус с помощью устаревшего механизма времён Windows XP.

Как видим, алгоритм использует две устаревшие технологии, которые, тем не менее, всё ещё встроены в Windows для обеспечения обратной совместимости.
Какие версии Windows уязвимы

Process Doppelgänging работает на всех версиях Windows, начиная с Vista. Интересно, что в Windows 10 Creators Update и Windows 10 Fall Creators Update существовал баг, из-за которого попытка запуска этого вируса заканчивалась "синим экраном смерти".

Но разработчики Microsoft не зря получают зарплату: неполадка была успешно исправлена в одном из последних накопительных обновлений, и теперь вредоносная программа может работать и на Windows 10 1703/1709.

Хакеры не думают, что Microsoft бросится как-либо патчить данную дыру. NTFS Transaction используется достаточно старым софтом, так что какие-либо изменения в этом механизме могут привести к проблемам совместимости.

Программисты считают, что сейчас дело за антивирусным ПО, которое должно научиться обнаруживать подобные атаки.

Источник: The Hacker News.


Теги: windows 10

Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Читайте еще
Meltdown Spectre обновление Windows влияет не только на производительность

Meltdown и Spectre обновление Windows влияет не только на производительность

Дата: 06.01.2018
Теги: новости

Meltdown и Spectre обновление Windows влияет не только на производительность - компания Microsoft выпустила обновления безопасности для операционных систем Windows, исправляющие критические уязвимости в процессорах Intel, AMD и ARM, которые исправляют раскрытые на днях уязвимости Meltdown и Spectre. Патчи могут привести к снижению производительности на затронутых системах и не только.

Еще один браузер Яндекс на Android

Еще один браузер Яндекс на Android

Дата: 26.12.2017
Теги: новости

Еще один браузер Яндекс на Android - обновленная версия приложения «Яндекс» для Android стала настолько удобной, что может теперь заменить браузер. Об этом сообщают разработчики на странице приложения в Google Play.

Google Chrome нативный блокировщик рекламы будет запущен 15 февраля

Google Chrome нативный блокировщик рекламы будет запущен 15 февраля

Дата: 21.12.2017
Теги: Google , Google Chrome

Google Chrome нативный блокировщик рекламы будет запущен 15 февраля - в этом году компания Google сообщила о своих планах бороться с некачественной рекламой путем интеграции собственного блокировщика рекламы в браузер Chrome.

2015 - 2018 гг. © Все права защищены.

143900, Россия, Проспект Ленина 32

☎ +7 906 756-61-66
✉ Писать сюда