Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус  



Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус +82

Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.



Технология, использованная в эксплоите, получила название Process Doppelganging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:

На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.

Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.

Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.

Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.

Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP Windows Vista, в которой были введены транзакции NTFS, и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelganging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (129):

  1. hackzard
    /#10560646

    Но необходимо понимать, что для реализации Process Doppelganging злоумышленник должен знать немало недокументированных и технически сложных нюансов о работе и создании процессов в системе. Может быть, она будет полезна спецслужбам, у которых и без этого есть терморектальный криптоанализатор необходимые возможности.

    • Jef239
      /#10560728

      Найдется кто такое напишет. А потом — будет продавать.

      • QDeathNick
        /#10562272

        Найдётся тот, кто заплатит денег (даже вперёд) тому, кто такое напишет, а потом будет продавать.

    • lexore
      /#10565340

      Но необходимо понимать, что для реализации Process Doppelganging злоумышленник должен знать немало недокументированных и технически сложных нюансов о работе и создании процессов в системе.

      Как будто раньше для написания вирусов этого знать не надо было.

  2. vilgeforce
    /#10560688 / +1

    Закрывать уязвимости — задача производителей ПО, но никак не антивирусов…

    • mrlika
      /#10560882

      Я могу ошибаться (не вникав в детали), но в данном случае — это больше похоже не на уязвимость ОС, а на способ обхода механизмов антивируса.

      • vilgeforce
        /#10560906

        В общем-то да. Но тогда заголовок совсем не соответствует содержанию ;-)

      • teecat
        /#10561862

        Как я понимаю — обходится один компонент — файловый монитор. Но
        1. До всего прочего троян должен проникнуть на машину. Через уязвимость или скачивание с сайта. Предположим проверку трафика можно обойти через передачу объекта в закрытой сессии. Ладно. Но любой новый объект в системе должен проверяться — кто-то же запущенный создает транзакции файловой системы. В этот момент троян может быть пойман — прецеденты есть
        2. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции. В каком режиме работал файловый монитор?
        3. Ладно, запустился троян. Периодически работает антируткит, он все процессы должен проверять для нахождения в том числе безфайловых троянов. Почему он не сработал?

        • ainoneko
          /#10562490

          2. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции.
          Так давно уже известно, что более-менее защищённым можно считать только выключенный компьютер в сейфе.
          А что делать, если его всё-таки надо использовать?

          • Dioxin
            /#10562534

            1. обойтись без интернета
            2. работать в ОС в режиме readonly

            • Jef239
              /#10562598

              По примеру концентраторов системы «Экспресс-2» — выключать дисководы после загрузки.

            • carebellum
              /#10563548

              >>работать в ОС в режиме readonly
              не подскажете как это сделать в Windows?

              • JC_IIB
                /#10564044

                LiveCD (для WinXP точно был) + Ram-disc? Любое заражение, любой троян, любой вася-петя лечится тупо перезагрузкой :)

                • carebellum
                  /#10564048

                  Acronis и регулярный бэкап — это да
                  Но как это связано с «ОС в режиме readonly»?

              • Dioxin
                /#10564326

                Самое простое — LiveCD.
                Вариант с HDD посложнее, тут инет курить надо.

                • VolCh
                  /#10565140

                  Зловред может прочитать конфиденциальные данные на рамдиске или внешнем накопителе и куда-то их отправить. А на внешнем и зашифровать

              • Ralari
                /#10565774

                В Ембеддед винде это элементарно.

        • mm7
          /#10562552 / -1

          Там же написано — эксплойт переписывает легитимный фаил зараженным содержанием, но не завершает транзакцию, поэтому антивирус не может проверить файл на этом этапе. потом процесс загружает зараженный образ из этого файла в память. а потом откатывает транзакцию.
          В итоге в памяти находится зараженный образ, а на диске «хороший», старый. Причем зараженный образ в памяти асоциирован с хорошим на диске. Это и обдуривает антивирусы, когда задача зараженного образа начинает делать чего-то в системе. Они-то, антивирусы, проверяют файл. А он хороший.

          • teecat
            /#10562668

            Это не весь антивирус. А один его компонент — файловый монитор. Его обойти можно и более простыми способами.
            Ситуация же с уязвимостью такова — на охраняемом объекте отключили охрану периметра, убрали собак с территории — и взломали замок на двери в некий цех. Да, уязвимость замка найдена, но вопрос сможет ли добраться до него злоумышленник, если система охраны действует штатно?

            • mm7
              /#10563330

              1. Я ничего не писал про то, что нужно отключить «охрану периметра» и «собак». Тогда, по-Вашему, если есть колючка и собаки, то можно замки не вешать?

              2. Файловая система и менеджер памяти всегда были штатной частью ОС. Антивирус — до последнего времени (до Windows Defender) был дополнительным. Я не против антивирусов, не нужно меня минусовать. Но я считаю, что одно дополняет, а не заменяет другое. И эти части, ФС, МП, Сеть и антивирус, должны работать совместно, дополнять друг друга.
              ФС, МП должны обеспечивать авторизацию доступа к ресурсам и правильную транзакционную работу.
              Антивирус должен проверять содержимое, отслеживать паттерны активности, доступа к ресурсам и тп.

              • teecat
                /#10563436

                1. Когда как, смотря какие риски и какие потоки данных. Но мой ответ не об этом. Я написал, что новость в общем — желтая. Да есть уязвимость, но одного только компонента. Если же стоит нормальный и настроенный набор компонентов защиты (скажем включая контроль целостности системы), то уязвимость одного компонента не сыграет

                2. Я не минусовал. Ответ был к уже заминусованной записи

                • mm7
                  /#10563694

                  1. согласен. новость желтоватая.
                  2. без проблем :)

  3. ildarz
    /#10560726

    А это вообще уязвимость? Вместо одного процесса, который можно запустить, запускается другой процесс, который опять-таки можно запустить. Обход антивирусной защиты — да, но уязвимость в чем?


    об обнаружении уязвимости в загрузчике Windows

    Не в загрузчике.

    • Alozar
      /#10560814

      В этой ситуации происходит создание процесса из копии файла, данные которого не были подтверждены.
      По логике надо либо отчищать созданную копию файла при откате транзакции, либо делать копию файла в памяти только на основании реальных данных на диске, транзакции по которым были завершены.

      • ildarz
        /#10560844

        Это в принципе понятно. Вопрос в том, можно ли таким способом запустить код с повышенными привилегиями, или же это де-факто не более страшная атака, чем подмена ярлыка на рабочем столе, только менее заметная. :) Из текста даже неясно, можно ли хотя бы UAC так обойти.

        • vesper-bot
          /#10560880

          Ну, «чем подмена ярлыка» уже страшнее, так как позволяет запустить зловред, который известен антивирусу, установленному в системе. Соответственно, должна позволять запустить код, использующий уязвимость типа EOP, или ботнет, или кейлоггер, или шифровальщик, или ещё что-нибудь не менее противное. Запущенный авторами оригинальной публикации mimikatz был антивирусу известен и при тестах «в лоб» ловился, однако после запуска через доппеля вполне себе работает. По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.

          • ildarz
            /#10560932 / +1

            Еще раз — обход антивирусной защиты как таковой не является уязвимостью ОС. Это принципиально разные вещи, и говорить об "уязвимости во всех версиях Windows" — передергивание в чистом виде.


            По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.

            Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса). Да и этот тоже не из воздуха на ПК компилится, и если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема. Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)

            • vesper-bot
              /#10561722

              Хорошо, но уязвимостью является создание процесса, который выглядит легитимно, а на деле зловред. По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw. Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.


              Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса)

              Согласен, впрочем, их без проблем можно зашифровать. Главное — создать корректный исполняемый файл в текущем окружении, который скормить потом в createprocess. Вспоминается Win32.Duqu, который, кстати, тоже был бесфайловым.


              если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема

              Непохоже, что только в этом. Механизм сам по себе довольно необычный, может статься, что будет очень неудобно для его перехвата ставить хуки. Антивирусы обычно мониторят активность на файловой системе, потому что доступ к данным на диске — довольно длительная операция, и состояние процесса "ожидание ввода-вывода" вполне нормальное. Мониторить активность в памяти на порядок проблематичнее.


              Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)

              Уже… спасибо за заботу :)

              • tyomitch
                /#10561848

                По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw.

                В чём уязвимость-то? Что этот механизм позволяет сделать такого, что нельзя сделать без него?
                Если ответ «скрыться от антивируса», то проблема в антивирусе, а не в ОС.

                Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.

                В такой трактовке, запись на диск исполнимого файла тоже «позволяет обойти DEP».

                • MikhailZhukov
                  /#10562556

                  Как я понимаю, проблема может проявиться в таком сценарии:
                  1) пользователь качает и запускает некий лоадер, который содержит зашифрованный зловред
                  2) лоадер при запуске создает какой-либо файл с «приличным» содержимым. этот файл проходит проверку антивирусами и срабатываний не вызывает
                  3) лоадер выполняет те самые манипуляции с транзакциями, вписывая расшифрованное из себя содержимое зловреда в копию файла в памяти. При нормальном ходе вещей эта операция бы отловилась антивирусом, но из-за бага или особенности виндовс — не отловится
                  4) лоадер выполняет малварь и, хотя антивирус ее знает, продетектить он ничего уже не может

                  Так что, на мой взгляд, ситуация все же достаточно неприятная. Для пользователей виндовс.

                  • tyomitch
                    /#10562906

                    «Неприятная ситуация для пользователей Windows» — это всё равно не «уязвимость в Windows».

              • mayorovp
                /#10561998

                DEP — это средство предотвращения случайного исполнения данных, а не намеренного. Так-то обойти его очень просто: создаем в адресном пространстве новый регион указав флагами разрешения на запись и исполнение. Один вызов VirtualAlloc. Все, больше ничего не требуется.

              • wdforge
                /#10562558

                Хук можно поставить на операцию начала, или отката транзакции, наверно это не такие частые процедуры.
                Странно что удалось обойти антивирус при создании процесса,. у него итак есть хуки на все функции, наверное тут чуть поменяют алгоритм и всё заработает.

                • mayorovp
                  /#10562588

                  Тут важен не момент простановки хука, а выбор объекта для проверки. Антивирусу нужно проверять файл именно в том виде в котором его видит запущенный процесс.

              • paulsv77
                /#10564444

                1. Будет ли это работать из под пользователя? (Прав на запись в служебные каталоги нет, сможет ли создаться транзакция на изменение легитимного файла)
                2. Будет ли это работать с включенной SRP?

            • mickvav
              /#10561762

              Ну, если учесть, что микрософт сама поддерживает один из антивирусов и всячески рекомендует антивирусы использовать — то это, скажем так, уязвимость в экосистеме M$.

          • Ralari
            /#10561310

            Пока просто показана методика запуска переименованного Блокнота.
            Если на исходный ехе-шник установлены права доступа с запретом на исполнение, эта методика не сработает.

            • mayorovp
              /#10561320

              Вот как раз кейлоггерам или шифровальщикам из-под обычного юзера очень неплохо работается. Ну, разве что теневые копии диска удалить не получится, но полно же систем где они отключены.

              • Ralari
                /#10561380

                Порушить свою собственную корзину, разве что…

        • mayorovp
          /#10561112

          Я бы сказал, что подмена ярлыков на рабочем столе — куда более страшная атака чем эта. Потому что подмена ярлыков постоянная, а эта атака — на один раз.

          Нет, UAC так обойти нельзя. Запуск программы с правами администратора происходит совершенно не так же как обычное порождение дочернего процесса.

          • Kobalt_x
            /#10561730

            С другой стороны таким финтом можно обойти т.н политики default deny/golden image/srp т.к подпись то валидная будет. Или я что-то не понимаю

            • tyomitch
              /#10561850

              Не будет она валидная, потому что загружаться будет изменённый файл (хоть и не записанный на диск).

              • Kobalt_x
                /#10561950

                WinVerifyTrust например не умеет верефицировать подпись из памяти у PE, поэтому иногда по проверяют по файлу с диска.

            • mayorovp
              /#10562006

              Вот это уже более интересное использование…

  4. Stroy71
    /#10560770

    Существует ли патч закрывающий данную уязвимость? Если нет, то ведется ли над ним работа?

    • sumanai
      /#10561482

      Конечно. UAC или работа из под ограниченного пользователя. Всё это не позволит вредоносному коду модифицировать загрузчик. Ну или упомянутые ниже SRP/AppLocker, которые ему просто не дадут запустится.

      • tyomitch
        /#10561624

        Что вы понимаете под «модифицировать загрузчик»?
        Для вызова ZwCreateProcess никаких особых прав не нужно.

        • sumanai
          /#10561678 / +1

          Чёрт, я подумал, что имеется в виду загрузка Windows. То то я недоумевал, причём тут антивирус.
          В общем облом будет на этапе «создается транзакция NTFS на изменение какого-либо легитимного файла Windows», я так думаю. А при SRP вредоносный код просто не запустится.

          • vesper-bot
            /#10561732

            А при SRP вредоносный код просто не запустится.

            Смотря как именно выполнен запуск процесса, выполняющего подмену файла. Если через другую уязвимость, позволяющую хоть какой-нибудь RCE, даже из-под пользователя, подменить можно будет (попытаться) какую-либо из программ, которая разрешена для запуска в SRP/Applocker. Тогда полезная нагрузка запустится, и будет непросто её отследить.


            Да и никто не говорит, что SRP не_нужен, просто он всё-таки не панацея. Хотя от очень многих проблем действительно избавляет.

            • sumanai
              /#10561766

              Всё верно. Я к тому, что при правильных настройках эта уязвимость ничего не сможет сделать сама по себе. А в комплексе да, может усложнить детектирование антивирусом и/или отслеживание по логам.

          • Kobalt_x
            /#10561748

            Транзакция NTFS может быть создана и из-за уязвимости в леитимном софте, и поведенческий анализ не спасет

          • mayorovp
            /#10562008

            Бинарник хрома обычно находится в доступной на запись папке. И является вполне себе легитимным файлом Windows.

            • rub_ak
              /#10562014

              У нормальных админов бинарник находиться там где ему и положено.

            • sumanai
              /#10562132

              Такие люди и под админом с отключённым UAC работают, их уже ничего не спасёт.

              • VolCh
                /#10562218

                Если не ошибаюсь, то это стандартный способ установки Хрома. Нет?

                • sumanai
                  /#10563602

                  Конечно. Стандартный ужасно кривой и не безопасный способ, не совместимый с безопасными приёмами работы в ОС, который сделали для ламеров, чтобы запрос UAC не портил статистику установок и для лёгкого обновления на новую версию зонда сами знаете для какого места.

                  • rub_ak
                    /#10563608

                    Парни ну вы что?
                    www.google.com/intl/v/chrome/business/browser/admin
                    Ставиться куда надо, ещё можно шаблонов для политик накачать, и через политики его настроить как вам нужно.

                    • sumanai
                      /#10563614

                      Мы то с вами знает про эти ссылки и способы, а вот обыватель качает хром с более простой ссылки со стандартными настройками.

                      • rub_ak
                        /#10563624

                        Так обсуждение хрома пошло с вашего коментария про SRP.
                        А если настроен SRP никакой хром не будет работать в appdata
                        Я думаю тот кто справился с SRP уж точно сможет найти правильный хром.

                        • sumanai
                          /#10563840

                          Скорее всего да, исключая случаи настройки по мануалу без понимания принципов. Хотя даже я всё время забываю про эту ссылку, наверное, потому что не пользуюсь хромом, и вряд ли её быстро нагуглю.

    • midda2
      /#10562560 / -1

      Да, такой патч существует, причем уже очень давно. Нужно использовать учетную запись с правами Пользователь, а Администратора использовать только для критичных перенастроек и установки ПО. Да, согласен, это может быть непривычно и в чем то неудобно. Но это вполне возможно, для любых практических ситуаций, даже для разработки ПО. Постоянная работа в учетке с повышенными привилегиями напоминает мне вождение без ремня безопасности и прочие лихачества.

      • mayorovp
        /#10562590

        Пользовательские файлы вирус может повредить и без привилегий администратора.

        • midda2
          /#10565026

          Но вирус из статьи даже не запустится, это главное. Мы ведь говорим про него?
          И еще про пользовательские файлы… вообще-то единственное 100% надежное решение — регулярный автоматический бэкап. А ограничение прав поспособствует тому, что потенциальный вирус не сможет вмешатся в работу ПО резервного копирования или вообще уничтожить весь архив. Обычно архив недоступен на мофицикацию для бэкапируемой учетки.

  5. rub_ak
    /#10560792 / +1

    Я правильно понимаю, опять нужно левые экзешники запускать?
    тогда можно немного расслабиться.

    • duzorg
      /#10560808

      Дааа… Без SRP уже хоть компьютер не включай… ))

    • Sergey6661313
      /#10560926 / -1

      А разве это правильно что екзешники в принципе могут писать что захотят и куда захотят ??
      Вот вздумается производителю браузера похерить все ваши данные — взял и похерил. Красота.
      ( я не имею в виду системные фаилы, мне как пользователю мой фаил «Дипломная.docx» (с последними изменениями) с over 9000 раз важнее любого системного фаила который я могу переустановить скачав с инета...)
      А екзешники я запускать хочу. Как же мне поиграть в «супер-новая-игра-запусти-меня.exe»
      Я как хомечёк должен иметь право запускать любой экзешник, а экзешник как любая потенциально-нежелательная программа не должна иметь по умолчанию никаких прав. Как на андройде — это сложно сделать что-ли?

      • tyomitch
        /#10560964

        Нравится вам андройд — поставьте его себе на комп, в чём проблема-то?
        А мне нравится возможность сохранять из браузера файлы, и моя ОС мне такую возможность даёт.

        • Sergey6661313
          /#10561208

          tyomitch
          -поставьте его себе на комп:
          Я высказываюсь не о том что какая-то система прямо лучше. Даже наоборот — Меня
          просто тошнит от всяких AndroidManifest.xml и необходимости создания целой
          структуры непонятно зачем нужных папок…
          Я говорю о безопасности в ОС и привожу пример той ОС где это реализовано хоть
          как-то. В самом андройде это тоже реализовано не правильно… Я сталкивался с
          вредоносным ПО которое целенаправлено предлагает нажать на экран 5 раз подрят в то место где появится запрос на предоставление программе повышенных прав… Юзер тыкает пять раз в экран и «по инерции» при появлении нового окошка случайно
          нажимает шестой раз — и оп майнер в системе.

          -нравится возможность сохранять:
          А я не против чтобы браузер мог их писать. Я против того что он может их писать куда угодно. Программа должна иметь возможность писать только в ту папку в которой она

          была запущена. Точнее сама программа должна быть папкой-контейнером. Запустил — она в себя записала. Если захотел — открыл и вытащил. САМ. И сохранил уже куда
          надо. есть папка например «запусти-меня-я-игра.exe» внутри исполняемый бинарный
          фаил и система будет разрешать по умолчанию писать такому бинарнику ТОЛЬКО в
          эту самую папку. И проблема безопасности тогда даже не возникнет. Не возникнет
          проблем появления неизвестно откуда новых программ/(майнеров) от mail.ru (это
          например). Не возникнет проблем с появлением кучи временных фаилов в temp
          весящих по пол гига. не будет проблем с подменой ярлыков к браузерам (и подменой домашней страници в принципе).

          Например я учитель по информатике:
          Я хочу получая фаил от школьника по скайпу — иметь возможность его запустить. Если фаил потребует какие-то дополнительные привилегии — то посылать собеседника на 3-и и более буквы. А если нет — успешно увидеть что же именно на клепал мой ученик. Сейчас такая защита УЖЕ есть, но к сожалению по умолчанию — дополнительные привилегии — это те которые подразумевают изменение параметров системы, а не в принципе запись фаилов в любую папку кроме той откуда запушен этот фаил.
          Да сработает УАК: «программа что-то пытается сделать». А что именно?? хрен с ней —
          запретить. И оп — майнер прописался в аппдату. Всё равно прописался! Да не в
          систему, но в юзера.

          @ ClearAirTurbulence
          — синхронизация с облаком:
          Данные мои и только мои и я не хочу их отдавать Васе Пупкину. Даже в зашифрованном виде.

          — Песочницы:
          не все песочници одинаково полезны/бесплатны/эффективны/«сами защищены»
          например sandboxie (по сути антиреклама):
          1) при запуске psiphon3 он успешно подменяет мне настройки прокси. Прямо в моей

          учётке — ему не важно что запущено было из песочници.
          2) не помогает при запуске игр в несколько окон — они не только ЗНАЮТ и ВИДЯТ

          процессы друг друга, но и свободно меняют память друг в друге.
          3) запуск игр, защитой от читов, в принцпе — игра просто не запуститься — античиты

          на раз два раскуривают тему, что они находятся в песочнице.
          Значит sandboxie — нам не подходит. А узнать подходит или нет можно УЖЕ после того как заплатил за неё деньги…
          Другие песочници дороже и вообще не имеют пробных периудов.
          другой пример virtualbox:
          1) при запуске вируса он прописывается в нутри виртуальной машины и это ничем не лутше установки его вне виртуальной машины. Потому что на «перестановку ОС»/«перезаливку образа диска» в нутри виртуальной машины всё равно придётся тратить время. И если там были сохранены какие то данные то они успешно похерятся.
          2) производительность… тут без комментариев.

          Сейчас мне приходится держать для этого отдельную ограниченную учётку (которой я

          запретил доступ на запись во все диски и папки кроме одной — «загрузки».) и все

          программы запускать от её имени — но это ОЧЕНЬ не удобно. Было бы правильно если

          бы такая возможность была на уровне операционной системы. По сути Microsoft не нужно даже переписывать свою систему — всё необходимое для изоляции программ уже есть. Осталось только задуматься о безопасности данных, а не безопасности системы.

          Хотя вспоминая времена дисков с драйвером star-foce (который обычный

          пользователь, без прав админа, конечно, не сможет установить) всё это бесполезно…

          Когда для запуска игры требуется не просто запустить левый екзешник но и левые

          дрова в систему прописать — это шик… Но как минимум если права будут урезаны по

          умолчанию — распространители игр, в целях увеличения аудитории, будут стараться

          исключать в своих программах необходимость иметь доступ который будет мешать

          запуску этих самых игр. У пользователей хотябы появится возможность выбирать — доверять ПО или нет. (при текущем раскладе никакому ПО доверять нельзя).

          • mayorovp
            /#10561246

            Учителю информатики я бы порекомендовал завести пользователя с пониженными привилегиями если на виртуалку ресурсов не хватает.

            • firegurafiku
              /#10564180

              Учитель информатики, между прочим, дело говорит, пусть и несколько сумбурно. Вас никогда не посещало чувство «Не буду ставить Skype/Steam/иной проприетарный блоб — кто его знает, что за файлы с моего компа оно отошлёт домой, и каких скриншотов надёргает»?

          • tyomitch
            /#10561306

            Если захотел — открыл и вытащил.

            Чем «открыл и вытащил»? Уникальной программой, наделённой способностью писать вне себя?

            • Sergey6661313
              /#10561378

              А для чего ещё системный проводник нужен? Всё равно ведь захочешь писать на флешку. Всё равно понадобятся исключительные права. Ну так почему бы не иметь их стандартному проводнику windows? Тут как раз UAC должен работать. Т.е. проводник должен иметь возможность писать куда угодно кроме системных фаилов по умолчанию. А так как он системный — это даёт гарантию что он не будет устанавливать майнеры от сторонних производителей вам в appdaту…

              • tyomitch
                /#10561636

                А потом: «Коварный M$ встроил в свою винду корявую прогу для вытаскивания скачанных файлов, и запретил сторонним вендорам реализовывать такую же функциональность самим?!? Ату, ФАС!»

                • Sergey6661313
                  /#10563430 / +1

                  А что? Именно такой продукт мне и нужен. Можно долго рассуждать на тему имеет ли право монополист делать в своей системе то что он захочет, но лично я не против отдать ту цену которую сейчас стоит винда, если бы она была именно с таким функционалом. (Желательно конечно без слежки и других лишних сервисов, но тут уже конфликт интересов будет с ихней стороны.)

                  • tyomitch
                    /#10563482 / +1

                    Вряд ли Microsoft (или кто бы то ни было) станет реализовывать фичу, которая позволит им получить $119 лично от вас, но при этом подвергнет риску штрафа на полмиллиарда рублей.

                    • Sergey6661313
                      /#10565108 / -1

                      Ну так это могло бы быть опцией… Например при установке. Или при создании пользователя. А риск — дело благородное.

          • nox1725
            /#10561596

            Поздравляю, Вы сейчас открыли для себя MacOS X (не реклама)

            Я, конечно, понимаю, что учитель в силу многих обстоятельств не сможет использовать что-то отличное от Windows, но в какой-то абстрактной работе это очень помогает (где нет зависимости от платформы).

            Я про то что MacOS X без всяких дополнительных телодвижений:

            • Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
            • Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)
            • При попытке внести изменения за пределы своего окружения, система спросит пользователя об этом (обычно даже поясняя, что именно хочет сделать приложение)


            Ну и там много еще чего интересного, но всё это можно найти в интернете

            • kahi4
              /#10561832

              Какая-то у вас неправильная MacOS X или вы спутали ее с iOS?


              Как и любая другая полноценная десктопная ОС, макос позволяет любому приложению шататься по любым файлам пользователя и писать куда ей вздумается без каких-либо на то ограничений (разумеется, речь не идет про разграничение прав пользователей на папки). Например, при запуске Path Finder никаких прав не спрашивает до тех пор пока вы не сунетесь куда нельзя.


              Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)

              До тех пор пока речь идет про стандартное оборудование. В винде, впрочем, винда так же раздает права самостоятельно на штатное оборудование.

              • nox1725
                /#10562036

                Нет, не путаю, хоть пользуюсь обеими. И да, обе спрашивают про привилегии, в момент доступа, а не заранее

                Плюсом ко всему, приложение должно быть подписано валидным разработчиком в AppStore

                • kahi4
                  /#10562264

                  Я хочу посмотреть как школьник будет подписывать своё приложение и публиковать его в аппстор. В конкретно данном примере Макос ничем не лучше винды, и скриптик на питоне так же может прописаться в окружении пользователя в автозагрузке и майнить что хочет, только потом ещё найти его будет сложнее. И так же может пошифровать все файлы.


                  После последних фейлов безопасности Apple я бы постеснялся приводить Макос как пример безопасности

                  • nox1725
                    /#10562278

                    Именно то, что любой школьник не может опубликовать (и подписать) своё приложение в AppStore и говорит о том, что это немного более безопасно, чем super_puper_app.exe

                    Да, фейлы безопасности есть у всех (лично я использую все 4 семейства ОС, везде хватает), однако вопрос не в фейлах, а легкости выстрела себе в ногу.

                    В Windows по моему мнению это сделать легче всего, дальше уже идут MacOS, Linux, Unix(*BSD) и всякая экзотика, где люди себе в ногу стреляют осознанно или эксперимента ради

                    Я про то, что дефолтные настройки Windows, позволяют делать много всякого, можно устанавливать любые приложения (да, они попросят «внести изменения на Вашем компьютере», без деталей), в том числе и без подписи

                    В той же MacOS нужно специально под админским паролем в настройках разрешить установку программ из неизвестных источников и еще при попытке установки чего-то не из AppStore тебе каждый раз напомнят, что это очень очень небезопасно

                    В Linux все сложнее, но если брать официальные репозитории, то там тоже есть GPG подпись

                    P.S. Не пытаюсь спорить, так как выбор ОС — дело сугубо религиозное, как и отношение к ИБ в конкретной ОС

                    • kahi4
                      /#10562290

                      Windows s тоже не позволит стрельнуть в ногу. Вообще это странная проблема пользователей с желанием заводить админские аккаунты и кликать «окей» на каждую хотелку системы. В случае с маком разница только в том, что обычно пользователи не скачивают супер-дупер полезные программы с черт пойми каких сайтов и что exe и rar.exe на маке не запускаются вообще, в остальном все тоже самое. Будет представлять Макос такой же интерес как и винда для вирусописателей — найдётся и в нем достаточное количество способов стреляная во все подряд. Желание пользователя посмотреть на халяву фильм и готовность ради этого скачивать сомнительный рар с сомнительного сайта и кликать «делай че хочешь, только фильм мне покажу» никуда не пропадут.


                      Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались (uwp с просьбой ввода пароля помогает).


                      IOS безопаснее по дизайну, покуда в нем приложения ни к чему доступа не имеют и проходят ревью, с этим сложно спорить. Но опять же — ставьте windows s и будет все тоже самое.


                      Да и снова. Была атака в каком-то отеле несколько лет назад, когда роутер перехватывал запрос на обновление флеш плеера и подсовывал заражённый. В маке он ровно с таким же успехом проникнет в систему с повышенными привилегиями и все (к слову, зачем они флеш плееру?)

                      • nox1725
                        /#10563136

                        Не знаю съест ли (ведь зараженный FP должен быть подписан сертификатом, которому Apple доверяет), но даже если съест и установит, у него должны быть привилегии:
                        image

                        Тоже самое с камерой, сетью и т.д.

                        То есть ну поставит малварь через флеш (хотя и в этом сомневаюсь, так как скажет, скорее всего, что приложение из недоверенного источника), но доступа к сети, камере и диску эта малварь не получит

                        Но в общем-то Вы правы, так как безопасность, это в большей степени ответственность пользователя, а любая современная ОС предоставляет средства защиты, плюс есть сторонние продукты, вроде антивирусов

                        Например в моей компании стоит сразу несколько рубежей защиты — и GlobalProtect, и Cisco AMP и банальный антивирус от Symantec, ну и плюс еще централизованный сбор логов о потенциально опасных действиях пользователя (установка ПО, например). То есть если я скачаю и установлю себе просто взломанное ПО, то это прямой путь к увольнению, так как отдел ИБ это заметит и даст по башке.

                        С таким подходом уже не важно, какая ОС (у нас примерно 60% винды, 30% маков и 10% линукс)

                      • sumanai
                        /#10563606

                        Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались

                        Странно. Вирусу для работы в общем случае админская учётка не нужна, те же шифровальщики могут спокойно захавать все фотки ваших родителей и требовать свои бесчестно заработанные деньги.

            • rdifb0
              /#10562044

              Поздравляю, Вы сейчас открыли для себя MacOS X UWP.

            • ad1Dima
              /#10562526

              Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
              XCode, Visual Studio, Android Studio. Сколько они папок засирают при установке многочисленных сдк… Еще и другие программы умудряются запускать

              • Sergey6661313
                /#10562632 / -1

                Я из вашего предложения не понял — вы за меня или против?

                Если за: ну так не только среды разработки засирают, но и любые приложения в принципе. Просто потому что могут. Об этом и разговор. Но зачем тогда цитировать отрывок про ограничения?

                Если против: Интегрированные среды разработки просто обязаны быть в едином пакете "всё в одном". т.е. включать в себя все элементы которые необходимы для разработки. Просто по определению. И никакой доступ к данным пользователя ему не нужен для работы. Или я не прав?

                • ad1Dima
                  /#10562690

                  Я привел пример, когда программы на MacOS(в том числе из AppStore) не ограниченны папкой и запускают друг друга.

          • Frankenstine
            /#10563070 / +1

            Программа должна иметь возможность писать только в ту папку в которой она была запущена.

            Возьмём, к примеру, файловый менеджер… Ой :)

            • sumanai
              /#10563610

              Ставить файловый менеджер в корень диска?

      • rub_ak
        /#10560972

        DEL
        написал глупость, забыв что времена android 4.0 прошли

      • ClearAirTurbulence
        /#10561034

        Глядишь, поколений через 100 хомячки научатся бэкапы делать, и держать рабочие файлы синхронизируемыми с облаком (если облако правильное, это дает бонусом восстановление при удалении + версионирование), а левый софт проверять антивирусом и запускать в песочнице\вм.

        • AllexIn
          /#10561282

          С каких пор облако — синоним безопасности?

          • senya_z
            /#10562446

            может, конечно, не синоним безопасности, но безопаснее или нет — это смотря с чем сравнивать. если с персональным ПК условного среднего пользователя, работающего из-под админа с отключенным UAC, антивирусом и кликающего «согласен», не читая, на любой вопрос, то я бы поставил на безопасность облака.

        • JC_IIB
          /#10564056

          Глядишь, поколений через 100 люди научатся не обзывать других людей «хомячками». Хотя… чувство превосходства, оно такое сильное. Может и 200 поколений не хватит.

      • Anatolt
        /#10561734

        Дипломная.docx в гугл диск и можно не бояться

        • Frankenstine
          /#10563076

          А потом окажется, что её пошифровал очередной криптолокер, и гугл диск просинхронизировал шифровку в облако.

          • Anatolt
            /#10563142

            если говорить конкретно о гугле — там можно откатить на предыдущую нешифрованную версию

      • Olsan
        /#10562562

        Приложения андроид работают уровнем выше от програм Windows и запускаются в среде с сравнительно ограниченым количетсвом возможных доступов. Если взять виндовс и при установке расписать глубже какие позволения нужны програме, врятли рядовым юзерам будет ясно «Прогама просит доступы: изменять системный реєстр в розделе HKEY_LOCAL_MACHINE\SOFTWARE\...., читать параметр x102as сетевых дисков, работать на Nvidia CUDA core… и тд.»
        Да екзешники могут делать что от них хотят те кто их создал.
        НО готовые продукты идут с Лицензией в котой все доступы, возможности и последствия, а также ответственность за них очень подробно расписаны. Именно Она (та которой мы так мало посвящаем любви и внимания при установке) в андроиде и заменена на диалоговое окно разрешений.
        Если Вам повезет и браузер похерит ваши даные то судебный процес с компанией которая не указала в License Agreement что может ваши данные похерить возместит потерю многократно)

        Надо как на андроиде? Пользуйтесь лицензироваными копиями с магазина windows.
        Надо анроид «секюрити» — Windows 10 S к вашым услугам. За счет приложений получите то что хотите.

  6. Rohan66
    /#10560830

    А DrWeb ловит? Или его не проверяли?

    • vilgeforce
      /#10560910

      Что ловит? Как писалось выше, уязвимости — не дело антивируса. Антивирус «ловит» вредоносные объекты, как правило, файлы и процессы.

  7. BaHeK1994
    /#10560884

    dr. web не пропускает уязвимость или на нем не тестировалось?

  8. dimugric
    /#10560886

    Полагаю, пока никто не ловит.
    Но инфа на 7 декабря, может за 4 дня чему-то антивирусы научили, хз
    Кстати, написал в eset со ссылкой оригинальной статьи (у меня куплен eset). Отпишусь, что пришлют

  9. dimugric
    /#10561036 / +1

    Ответ от Eset:

    Наши эксперты в курсе проблемы и работают над ее решением. На данный момент главное — установить обновление для вашей ОС Windows через Центр обновления.


    Правда MS ничего на этот счёт вроде не писал, ставить всё подряд лишь бы установить всё, что есть к установке особого смысла не вижу.

  10. yul
    /#10561478

    В последней был баг, из-за которого применение Process Doppelganging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.
    Ну, молодцы же. Интересно, кто его зарепортил.

  11. Sayonji
    /#10561646

    Поясните, пожалуйста. Цитата из первого абзаца статьи:

    … уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код...
    Это правда? Или только следы заметать научились?

    • vesper-bot
      /#10561700

      Научились скорее их не оставлять. А так — уязвимость в процедуре создания процесса из файла, если в файле выполняются транзакционные изменения, которые потом отменяются. Код подсовываешь какой угодно, да.

      • Sayonji
        /#10561716

        Хм, я снова уточню на всякий случай.

        Код подсовываешь какой угодно, да.
        В той же мере, что и сейчас, только истории не останется, верно? Так скажем, эта фича никак не поможет вирусу, цель которого, например, украсть какой-нибудь файл единоразово, т. к. с ним важно только поймал или нет, а если он запустился, то уже поздно. Так?

        • vesper-bot
          /#10561738

          В той же мере, что и сейчас, только истории не останется, верно?

          Ну да, в принципе. Вот только есть такой подкласс вирусов — APT, им как раз эта техника очень поможет.

  12. arthur_veber
    /#10561800

    уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelganging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

    То есть теперь вредоносный код запускается не роняя систему в «синий экран смерти»?

    • vesper-bot
      /#10562566

      Ну… да, вместе с тем легитимным кодом, который из-за этого бага ронял винду в синий экран.

  13. lostmsu
    /#10561878 / -1

    Катимся сами знаете куда? Статья про уязвимость без наличия какой-либо уязвимости имеет положительный рейтинг?

  14. YetAnotherSlava
    /#10562238

    А что, транзакции в NTFS еще живы, что-ли? Их ввели в Висте, а в Win7 уже пометили, как deprecated — потому что разработчики фичу не оценили.

    • Frankenstine
      /#10563084

      Действительно, транзакционная NTFS есть только в Виста+, каким образом уязвимости подвержена и ХР? либо где-то закралась ошибка, либо ХР приписали по привычке.
      UPD: внизу таки говорят что это ошибка переводчика, проблема на Виста+.

      • sumanai
        /#10563618

        В XP транзакции есть только у самой файловой системы, поэтому да, эта прекрасная ОС не подвержена данной уязвимости.

  15. alexoron
    /#10562344

    Что-то мне кажется, скоро на пару с этой уязвимостью появятся вирусы-шифраторы и криптомайнеры.
    А ведь в будущем появятся вирусы считывающие свои исходники даже из чистоустановленного реестра. Во тогда админу уйдут ребут.

  16. Botkin
    /#10562488

    Очередной плевок в сторону суперинтеллектуальных эвристических алгобулшитмов

  17. New_man
    /#10562570 / -2

    Из статьи ни чего не понял… А вот по коментам только то что M$ + AntiVirus это норма. M$ — AntiVirus это дырявое корыто

  18. true_campfire
    /#10562572 / -1

    Надеюсь, мелкомягкие найдут способ запечатать эту дыру.

  19. ASMatic
    /#10562574

    И чем этот способ лучше запуска малвари с памяти?!

  20. teecat
    /#10562986

    Найдена уязвимость во всех версиях Windows

    Открываем ссылку в первом абзаце
    attack works on all modern versions of Microsoft Windows operating system, starting from Windows Vista to the latest version of Windows 10

    • vesper-bot
      /#10563344

      Прошу прощения за неточность. Исправлено.

  21. reff
    /#10563158

    Заголовок энтэвэшный! Пугаете фразой "все версии Windows", а затем, "начиная с Windows XP".

    • ad1Dima
      /#10563206

      Пользователи Windows 95 вздохнули спокойно?

      • reff
        /#10563278

        И не только они (1.0—2000).

  22. gurkov_oleg
    /#10564452

    Можете попрще объяснить, для тормозов. Какова опасность?
    Да… По сути в системе может запускаться заражённый файл и пока работает — рушить систему.
    А что будет при перезагрузке компа?
    Вирус по идее исчезнет как прошлогодний снег… Да даже если в Диспетчере задач в ручную закрыть запущенное непонятное приложение, ведь тоже получится что «вирус» испарится, а при новом запуске «зараженного-незараженного» файла откроется уже чистый файл… Или нет?

    • CaptainFlint
      /#10564804

      Если вирус пропишется в автозагрузку, то он сможет проделывать этот трюк при каждом включении компа.

      Основная опасность с точки зрения статьи в том, что антивирусы не обнаруживают такой запуск вредоносного кода, так что даже давно известные вирусы/трояны, внесённые во все сигнатуры всех антивирусов, будут запущены без малейших препятствий. Само тело вируса может быть зашифровано, чтобы не обнаруживаться при проверке файлов. В обычном случае «запускателю» всё равно пришлось бы расшифровать/распаковать его, записать на диск и стартануть — вот тут-то антивирус и поймал бы запуск вредоносного файла. А если использовать описанный трюк, то запуск не будет отловлен (вернее, будет, но антивирус проверит не реально запущенный код, а какой-нибудь безобидный файл, не имеющий отношения к вирусу).