NONAMENO.COM

Doppelgänging серьёзная уязвимость которую обнаружили в Windows

Дата: 09.12.2017Просмотров: 440
Doppelgänging серьёзная уязвимость которую обнаружили в Windows

Doppelgänging серьёзная уязвимость которую обнаружили в Windows - несмотря на то, что Microsoft постоянно улучшает механизмы защиты Windows от вредоносных программ, время от времени в ней всё-таки обнаруживаются дыры безопасности.

Windows является одним из самых сложных программных продуктов, поэтому предусмотреть всё просто невозможно. Об одной из таких уязвимостей стало известно вчера на конференции хакеров Black Hat 2017.

Алгоритм Process Doppelgänging, использующий функцию Windows NTFS Transaction, позволяет внедрить в систему вредоносный код и на данный момент не обнаруживается ни одним антивирусом.

Что такое NTFS Transaction

В Windows Vista разработчики Microsoft представили функцию NTFS Transanction, с помощью которой программы могли записывать какие-либо данные на жёсткий диск. Более ранние алгоритмы записи не давали гарантий полного вывода нужной информации.

К примеру, если на диске обнаруживались повреждённые сектора, данные записывались лишь частично, что было не очень удобно для разработчиков ПО.

Всем известно, что обычная банковская транзакция не может пройти частично - деньги либо перечисляются полностью, либо вовсе не перечисляются. На этом же принципе построен и механизм NTFS Transaction - при его использовании система гарантирует, что все данные в полном объёме будут записаны на диск. NTFS Transaction работает следующим образом:

- Windows записывает нужную информацию в отдельную область на диске и следит, чтобы операция прошла успешно.
- Если всё получилось, система перемещает записанные файлы в указанную программой директорию с помощью ссылок.
- Если операция записи закончилась неудачно, Windows пробует вывести информацию в другое место на диске.

На сегодняшний день механизм NTFS Transaction устарел. Microsoft не рекомендует разработчикам использовать NTFS Transaction и предупреждает, что эта функция может исчезнуть из будущих версий Windows.
Как работает Process Doppelgänging

Хакеры обнаружили, что никакие антивирусные программы не следят за областью диска, куда системный механизм NTFS Transaction пробует записать данные. На этом наблюдении и основан алгоритм Process
Doppelgänging:

- Хакер запускает NTFS Trasnsaction в отношении какого-нибудь доверенного исполняемого файла.
- В этот файл внедряется вредоносный код, который создаёт на диске область с файлами вируса.
- NTFS Transaction искусственно прерывается, и Windows возвращает заражённый исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов.
- Хакер запускает вирус с помощью устаревшего механизма времён Windows XP.

Как видим, алгоритм использует две устаревшие технологии, которые, тем не менее, всё ещё встроены в Windows для обеспечения обратной совместимости.
Какие версии Windows уязвимы

Process Doppelgänging работает на всех версиях Windows, начиная с Vista. Интересно, что в Windows 10 Creators Update и Windows 10 Fall Creators Update существовал баг, из-за которого попытка запуска этого вируса заканчивалась "синим экраном смерти".

Но разработчики Microsoft не зря получают зарплату: неполадка была успешно исправлена в одном из последних накопительных обновлений, и теперь вредоносная программа может работать и на Windows 10 1703/1709.

Хакеры не думают, что Microsoft бросится как-либо патчить данную дыру. NTFS Transaction используется достаточно старым софтом, так что какие-либо изменения в этом механизме могут привести к проблемам совместимости.

Программисты считают, что сейчас дело за антивирусным ПО, которое должно научиться обнаруживать подобные атаки.

Источник: The Hacker News.

Теги: windows 10

Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Читайте еще
FreeMove перенос программы и игры на другой диск

FreeMove перенос программы и игры на другой диск

Дата: 09.12.2017

FreeMove перенос программы и игры на другой диск - разработчиками Windows 10 предусмотрена возможность переноса с системного на другой диск приложений, установленных из Microsoft Store.

Microsoft завершила тестирование Edge для Android и iOS

Microsoft завершила тестирование Edge для Android и iOS

Дата: 01.12.2017
Теги: браузер , Edge

Microsoft завершила тестирование Edge для Android и iOS - в прошлом месяце компания Microsoft предложила пользователям Windows 10 принять участие в предварительном тестировании мобильной версии браузера Edge для смартфонов под управлением Android и iOS.

Программа Torrent Gear лёгкий торрент-клиент для Windows 10

Программа Torrent Gear лёгкий торрент-клиент для Windows 10

Дата: 10.11.2017

Программа Torrent Gear лёгкий торрент-клиент для Windows 10 - представляет собой простой торрент-клиент, позволяющий загружать и передавать данные при помощи торрент-файлов и магнет-ссылок.

2018 © Все права защищены. NNMN

143900, Россия, Проспект Ленина 32

☎ +7 906 756-61-66
✉ Писать сюда