Проблемы уязвимости операционной системы windows 10

В последнем вторничном обновлении Microsoft Windows была закрыта в общей сложности сразу 71 уязвимость. Самая опасная из них — обнаруженная нашими технологиями CVE-2021-40449, уязвимость класса use-after-free в драйвере Win32k, которая уже эксплуатируется злоумышленниками. О ней мы писали во вторник.

Однако кроме нее были закрыты еще три достаточно серьезные уязвимости, информация о которых уже попала в публичный доступ. В данный момент Microsoft называет вероятность их эксплуатации «Less likely». Но надо иметь в виду, что эти уязвимости уже активно обсуждаются в Интернете, к тому же существуют доказательства осуществимости атак — поэтому не исключено, что кто-то попробует воспользоваться какой-либо уязвимостью на практике.

Уязвимость в ядре Microsoft Windows

CVE-2021-41335, самая опасная дыра из трех, имеет рейтинг 7,8 по шкале CVSS. Она содержится в ядре Microsoft Windows и допускает повышение привилегий потенциально вредоносного процесса.

Обход Windows AppContainer

Вторая уязвимость, CVE-2021-41338, позволяет обойти ограничения среды Windows AppContainer, которая служит для защиты приложений и процессов. Эту возможность дает существование дефолтных правил Windows Filtering Platform, которые при совпадении определенных условий могут быть использованы для обхода ограничений. В результате это может привести к повышению привилегий.

Уязвимость была обнаружена участниками проекта Google Project Zero, которые сообщили о ней в Microsoft в июле и предоставили компании 90-дневный срок на устранение, после чего опубликовали доказательство ее применения в открытом доступе. Уязвимость имеет рейтинг 5,5 по шкале CVSS.

Уязвимость в Windows DNS Server

Уязвимость CVE-2021-40469 актуальна только для машин под Microsoft Windows, работающих в качестве серверов DNS. Но при этом уязвимы все актуальные серверные версии системы, начиная с Server 2008 и заканчивая недавно вышедшей Server 2022. Уязвимость допускает удаленное выполнение постороннего кода на сервере и имеет рейтинг 7,2 балла по шкале CVSS.

Как защитить компанию от эксплуатации уязвимостей

Как показывают результаты исследования наших коллег, занимающихся реагированием на инциденты, эксплуатация уязвимостей остается одним из популярнейших начальных векторов атаки. Причем далеко не всегда это самые свежие уязвимости — согласно выводам исследования, главная угроза тут не столько «зиродеи», сколько несвоевременная установка обновлений в целом. Поэтому мы всегда рекомендуем централизованно устанавливать обновления на все подключенные устройства. Особенно это актуально для критических приложений — операционных систем, браузеров и защитных решений.

А чтобы вашу компанию не могли атаковать при помощи пока неизвестных уязвимостей, следует использовать защитные решения с проактивными технологиями, способными выявить эксплойты нулевого дня.

Новости

2022

Ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows

Ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows. Об этом стало известно 17 октября 2022 года.

Недостаток обновлений Windows позволяет хакеру скомпрометировать компьютер с помощью драйвера.

В течение почти 2-х лет специалисты Microsoft нарушали ключевую защиту Windows, что сделало миллионы клиентов уязвимыми для заражения вредоносным ПО, который был особенно эффективен в последние месяцы.

Microsoft заявляет, что Центр обновления Windows автоматически добавляет новые программные драйверы в черный список для предотвращения известного метода заражения вредоносным ПО под названием BYOVD (Bring Your Own Vulnerable Driver).

Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.

Оказалось, что Windows неправильно загружала и применяла обновления к черному списку драйверов, что делало пользователей уязвимыми для очередных BYOVD-атак.

Более того, даже легитимные драйверы иногда содержат уязвимости, которые приводят к повреждению памяти или позволяют хакерам внедрить свой вредоносный код непосредственно в ядро. Даже после исправления недостатков старые драйверы с ошибками останутся доступны для BYOVD-атак, поскольку они уже подписаны.

Microsoft знает об угрозе BYOVD и работает над защитой. Чтобы остановить эти атаки, компания создает блокирующие механизмы, не позволяющие Windows загружать подписанные и уязвимые драйверы^[1].

Устранение 52 уязвимостей повышения привилегий

Microsoft устранила 52 уязвимости повышения привилегий исправлений. Об этом стало известно 13 июля 2022 года.

Компания исправила 1 часто используемую уязвимость нулевого дня и 84 других ошибок. 4 из 84 уязвимостей классифицируются как «критические», поскольку они допускают удаленное выполнение кода. Количество ошибок в каждой категории уязвимостей указано ниже:

• 52 уязвимости повышения привилегий;
• 4 уязвимости обхода функций безопасности;
• 12 RCE-уязвимостей;
• 11 уязвимостей раскрытия информации;
• 5 уязвимостей отказа в обслуживании (DoS).

Вторник исправлений июля месяца исправил активно используемую 0-day уязвимость повышения привилегий. Эта уязвимость была обнаружена внутри Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

CVE-2022-22047 — уязвимость Windows CSRSS, связанная с повышением привилегий. С помощью этого недостатка киберпреступник может получить системные привилегии, — заявила Microsoft[2].

Вымогательское ПО Magniber угрожает миллионам пользователей Windows 11

30 мая 2022 года стало известно, что аналитики 360 Security Center обнаружили очередную версию вымогательского ПО Magniber, нацеленную на системы под управлением Windows 11. По словам специалистов, 25 мая объем атак с использованием Magniber значительно возрос.

Вымогательское ПО распространяется через несколько онлайн-платформ, сайты с пиратским ПО, поддельные порнографические сайты и т.д. Когда пользователь заходит на фальшивый сайт, злоумышленники пытаются заставить жертву скачать вредоносный файл со своих сетевых дисков.

По словам исследователей, программа-вымогатель практически не изменилась, но теперь может поражать несколько версий ОС Windows. Для шифрования файлов жертв программа использует алгоритмы шифрования RSA и AES. Алгоритм RSA имеет длину 2048 бит, из-за чего Magniber тяжело взломать. После шифрования суффикс файла становится случайным, а для каждой жертвы открывается отдельная страница оплаты. Стоимость выкупа — 0,09 биткоина в первые пять дней. Если выкуп не будет оплачен в указанный срок, то страница оплаты станет недействительной, а стоимость выкупа удвоится.

По мнению исследователей безопасности, для этой программы-вымогателя не существует безопасного дешифровщика. Кроме того, специалисты пока не знают о слабых местах вредоноса, способных обратить заражение вспять.

Magniber нацелено на обычных пользователей, а не на компании, поэтому специалисты рекомендуют пользователям сохранять бдительность, не загружать пиратское ПО и использовать только официальные сайты.

Это уже второй случай за два месяца, когда Magniber атакует пользователей Windows. В апреле злоумышленники использовали поддельные обновления Windows 10 для распространения вредоноса.^[3]

Обнаружены случаи хранения вредоносного кода в журналах событий Windows

5 мая 2022 года компания «Лаборатория Касперского» сообщила, что ее эксперты обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», —

Для защиты от бесфайлового ПО и схожих угроз компания рекомендует:

• установить эффективное защитное решение, такое как Kaspersky Endpoint Security Cloud; в нём есть компонент, который позволяет детектировать аномалии в поведении файлов и выявлять бесфайловое вредоносное ПО;
• использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов. Эти возможности доступны в рамках пакета Kaspersky Expert Security ;
• применять решения для защиты конечных устройств и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак. Сервис Kaspersky Managed Detection and Response позволяет распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей.

Мошенники распространяют инфостилер под видом обновления Windows 11

19 апреля стало известно, что киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки. Подробнее здесь.

Windows Defender Application Control блокирует уязвимые драйверы

29 марта 2022 года стало известно, что компания Microsoft предоставила пользователям Windows возможность блокировать драйверы с уязвимостями с помощью Windows Defender Application Control (WDAC) и «черного списка» уязвимых драйверов.

Представленная опция является частью набора функций безопасности Core Isolation для устройств, использующих безопасность на основе виртуализации. Функция работает на устройствах под управлением Windows 10, Windows 11, Windows Server 2016 и более поздних версий с включенной функцией Hypervisor-Protected Code Integrity (HVCI), а также на системах под управлением Windows 10 в S-режиме.

Программный уровень безопасности WDAC, который блокирует уязвимые драйверы, защищает системы Windows от потенциально вредоносного программного обеспечения, гарантируя запуск только защищенных драйверов и приложений.

«Черный список» уязвимых драйверов, используемый представленной защитной опцией Windows, обновляется с помощью независимых поставщиков оборудования (IHV) и производителей оригинального оборудования (OEM).

WDAC защищает Windows-системы от драйверов, разработанных сторонними производителями, с любым из следующих атрибутов:

• Известные уязвимости в системе безопасности, которые злоумышленники могут использовать для повышения привилегий в ядре Windows.
• Вредоносное поведение (вредоносное ПО) или сертификаты, используемые для подписи вредоносного ПО.
• Действия, которые не являются вредоносными, но обходят модель безопасности Windows и могут быть использованы злоумышленниками для повышения привилегий в ядре Windows.

Параметр «Черный список уязвимых драйверов Microsoft» можно включить в разделе «Безопасность Windows» > «Безопасность устройства» > «Изоляция ядра». После включения он блокирует определенные драйверы на основе их хэша SHA256, атрибутов файла, таких как имя файла и номер версии, или сертификата подписи кода, используемого для подписи драйвера.^[4]

2021

ИТ-структура ФСБ сообщила об опасной уязвимости Windows

13 сентября 2021 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) РФ, созданный по указу ФСБ, сообщил о существовании серьезной уязвимости в операционных системах Windows.

Речь идет о так называемой уязвимости «нулевого дня» (0-day). Она связана с некорректной проверкой входных данных в компоненте MSHTML. Брешь в ПО позволяет злоумышленнику удаленно выполнить произвольный код в целевой системе посредством открытия пользователем специально сформированного документа Microsoft Office.

Как сообщает «Интерфакс» со ссылкой на заявление НКЦКИ, программный недостаток актуален для Microsoft Windows версий 7, 8.1, 10 и Microsoft Windows Server версий 2008, 2012, 2016, 2019, 2022.

Отмечается, что с учетом отсутствия официальных исправлений от компании Microsoft создаются предпосылки для массового заражения компьютеров пользователей различными вредоносными программами. Имеются факты о доставке таким образом вредоносного приложения Cobalt Strike, которое в 2016 году использовалось в серии атак на российские банки, сообщили в НКЦКИ.

В ИТ-структуре ФСБ рекомендует временно отключить возможность установки компонентов ActiveX в операционной системе и предварительный просмотр документов в Windows Explorer, обновить антивирусные средства, при получении электронных писем с файлами проверять их антивирусом, а также проверить в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20210910.csv».

Как пишет издание BleepingComputer, киберпреступники поделились о уязвимостью Windows на одном из хакерских форумов. Вся информация представлена в таком виде, что любому желающему не составит большого труда задействовать эксплойт в собственных атаках. Специалисты из BleepingComputer, например, продемонстрировали это за 15 минут.^[5][6]

Windows 10 начнет по умолчанию блокировать потенциально нежелательное ПО

Windows 10 начнет по умолчанию блокировать потенциально нежелательное ПО. Об этом стало известно 4 августа 2021 года.

Защита будет доступна только для пользователей Windows 10, использующих Защитник Windows, а не стороннее защитное решение.

По словам специалистов Microsoft, потенциально нежелательные приложения «могут стать причиной медленной работы устройства, показывать нежелательную рекламу или, в худшем случае, устанавливать другое программное обеспечение, которое может быть более опасным или раздражающим». Подобные программы не являются вредоносными, но обычно данное ПО не является необходимым.

Компания представила поддержку блокировки PUA в Windows 10 в 2018 году, но пользователям приходилось включать данную функцию с помощью PowerShell. Возможность включить или настроить защиту в разделе «Безопасность Windows» была представлена ​​в майском обновлении безопасности для Windows 10 в 2020 году.

Защита от потенциально нежелательных приложений включена по умолчанию с августа 2021 года, но только для пользователей Windows 10, которые используют Защитник Windows, а не стороннее решение безопасности^[7].

Уязвимость, повреждающая жесткий диск после просмотра файла

Уязвимость в Windows 10 повреждает жесткий диск после просмотра файла. Об этом стало известно 14 января 2021 года.

Уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии.

Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы.

Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.

Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.

Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.

После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.

После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.

Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на «C: : $ i30: $ bitmap» проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе^[8].

2020

Рост числа уязвимостей в ПО Microsoft на 48%, до 1268

В середине июня 2021 года ИБ-компания BeyondTrust выпустила отчет об уязвимостях ПО Microsoft, согласно которому общее количество брешей в продуктах Microsoft достигло рекордного уровня (1268) в 2020 году, что на 48% больше, чем в предыдущем году. Эксперты считают, что 132 проблемы Windows 10 были критическими, и 56% из них можно было бы предотвратить, удалив права администратора.

В отчете BeyondTrust говорится, что неустановленные уязвимости Microsoft становятся причиной едва ли не каждой третьей атаки хакеров во всем мире, ведь около 1,5 миллиарда человек используют операционные системы Windows каждый день. Microsoft отказалась от комментариев.

Наибольшее количество критических проблем эксперты выявили в Windows Server: на них приходится 138 из 902 уязвимостей, причем остальные проблемы касаются в основном ПО Windows 7, Windows RT, Windows 8 / 8.1 и Windows 10. Проблемы также были обнаружены в других продуктах Microsoft, включая Microsoft Edge и Internet Explorer 8, 9, 10 и 11. В совокупности все браузеры имели 92 уязвимости в 2020 году, и 61 из них (66%) были признаны критическими.

В отчете BeyondTrust отмечено, что в 2020 году в браузерах Internet Explorer 8, 9, 10 и 11 было выявлено 27 критических уязвимостей.

Удаление прав администратора могло смягчить последствия 24 из этих проблем, устранив 89% риска, — говорится в отчете.

Эксперты также отмечают, что количество критических уязвимостей в Microsoft Edge в 2020 году уменьшилось с 86 до 34. Однако и в этом случае удаление прав администратора могло бы уменьшить опасность в отношении 29 и 34 проблем (85%).

В Microsoft Office было выявлено 79 уязвимостей, касавшихся программ Excel, Word, PowerPoint, Visio, Publisher и других продуктов Office. Только пять из них были признаны критическими, но удаление прав администратора смягчило бы последствия взлома в четырех случаях из пяти.^[9]

Критическая уязвимость DNS-сервисов 17 лет угрожала пользователям Windows Server

Компания Check Point Software Technologies Ltd., поставщик решений в области кибербезопасности, 15 июля 2020 года сообщила о выявлении уязвимости в DNS-серверах Windows. Благодаря данной уязвимости хакеры могут создавать вредоносные DNS-запросы к DNS-серверу Windows и осуществлять выполнение произвольного кода, что, в свою очередь, приводит к нарушению всей ИТ-инфраструктуры. Критическая уязвимость, получившая название Signed, затрагивает версии Windows с 2003 по 2019 год.

DNS — это часть глобальной инфраструктуры сети интернет. Данная система переводит привычные пользователям имена веб-сайтов в строки номеров, необходимые устройствам для поиска сайта или отправки электронного письма. Воспользовавшись уязвимостью DNS-сервера, хакер получает права администратора домена и может манипулировать электронной почтой пользователей, сетевым трафиком, ограничивать доступ к службам, собирать учетные данные пользователей и прочее.

Специалисты Сheck Point Research сообщили Microsoft о найденной уязвимости 19 мая 2020 года. Компания признала недостаток безопасности и оперативно разработала патч (CVE-2020-1350). Также Microsoft присвоила уязвимости максимальный уровень риска (CVSS:10.0). Опасность уязвимости Signed заключается в том, что один эксплойт может запустить цепную реакцию. В результате одно скомпрометированное устройство может стать распространителем вредоносного ПО по всей сети организации в течение нескольких минут после первого эксплойта.

Исправления Microsoft для данной уязвимости доступны с 14 июля 2020 года. Check Point рекомендуют пользователям Windows оперативно исправить уязвимость DNS-серверов. Специалисты Check Point считают, что вероятность использования уязвимости Signed высока, поскольку хакерам не составит большого труда найти необходимые способы. 99% компаний по всему миру находятся в опасности, поскольку все так или иначе используют сервисы Microsoft Active Directory, включая необходимые DNS-серверы, подчеркнули в Check Point. В случае, если хакерам удастся осуществить атаку прежде, чем организации установят патчи, то масштаб ущерба может сравниться с эпидемией WannaCry 2017 года. Тогда от деятельности киберпреступников пострадали 300 тыс. компьютеров в 150 странах, а общий ущерб превысил 1 млрд долларов США.

«Нарушение работы DNS-сервера — это очень серьезная проблема. Использование уязвимости сервера позволяет хакерам получить доступ ко всем конфиденциальным данным компании. Уязвимостей подобного типа не много, однако их наличие подвергает любую компанию, использующую ОС Windows Server, серьезному риску компрометации всей корпоративной сети. Уязвимость Signed существует в коде Microsoft уже более 17 лет. Если мы ее нашли, то можно предположить, что кто-то другой также знает о ее существовании», — отметил Омри Херсковичи (Omri Herscovici), руководитель исследовательской группы Check Point.

Меры безопасности:

• 1. Необходимо использовать патч Microsoft для исправления уязвимости Signed.
• 2. Необходимо использовать стороннего поставщика для обеспечения безопасности корпоративной ИТ-инфраструктуры.
• 3. Другие способы для блокировки атаки: в поле `CMD` необходимо ввести:
  • reg add
  • «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Уязвимость BlueKeep, позволяющая получить полный контроль над компьютером

27 марта 2020 года компания Positive Technologies сообщила о том, что в ходе мониторинга актуальных угроз (threat intelligence) эксперты компании выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2. Подробнее здесь.

Компьютеры Apple заражают вирусами в 2 раза чаще Windows-систем. Итоги года

В середине февраля 2020 года компания Malwarebytes, развивающая решения для защиты и восстановления программного обеспечения, представила ежегодный отчет по вредоносному софту. Подробнее здесь.

2019

Windows 10 заняла третье место по количеству уязвимостей

В ходе анализа статистики уязвимостей в различных операционных системах и программных продуктах по итогам 2019 года выяснилось, что на третьем месте оказалась Windows 10 (357 уязвимостей). Подробнее здесь.

Шифровальщик PureLocker атакует корпоративные серверы под управлением Windows и Linux

18 ноября 2019 года стало известно, что эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux. Подробнее здесь.

Протокол CTF позволяет захватить любой ПК

14 августа 2019 года стало известно, что малоизвестный протокол CTF, используемый во всех версиях операционной системы Microsoft Windows начиная с XP, небезопасен и может быть использован злоумышленником для проведения целевой атаки. Об этом сообщил ресурс ZDNet со ссылкой на исследователя в сфере безопасности из команды Google Project Zero Тэвиса Орманди (Tavis Ormandy), обнаружившего проблему.

По словам эксперта, уязвимый протокол позволяет хакерам захватить любое приложение, в том числе запущенное с полномочиями администратора или даже всю ОС целиком.

Как именно расшифровывается аббревиатура CTF неизвестно – Орманди не удалось отыскать информацию об этом в документации Microsoft. Однако известно, что CTF является частью Windows Text Services Framework (TSF) – системы, которая отвечает за вывод текста в Windows и приложениях для нее.

Когда пользователь запускает приложение, Windows также стартует CTF-клиент для этого приложения. CTF-клиент в дальнейшем получает сведения о системном языке ОС и методе ввода с клавиатуры. CTF-сервер ведет непрерывный мониторинг данных параметров, и в случае их изменения, отдает команду CTF-клиенту, чтобы тот в режиме реального времени «подстроился» под них.

Орманди выяснил, что процесс взаимодействие между CTF-клиентом и его сервером никак не защищен, то есть любое приложение, пользователь или даже изолированный процесс может элементарно подключиться к сессии CTF.

Хотя CTF-сервер и требует от своего клиента идентификаторы потока, процесса и окна (HWND), однако из-за отсутствия какого-либо механизма аутентификации ничто не мешает передать поддельные данные, – отмечает эксперт.

Таким образом, установив контроль над CTF-сессией приложения, злоумышленник может отправлять команды в адрес этих приложений, маскируясь под CTF-сервер. С помощью данной техники хакеры получают возможность красть данные из запущенных программ, либо управлять ими. Если же программа запущена с повышенными привилегиями, ничто не помешает атакующему захватить полный контроль над компьютером жертвы.

По словам Орманди, захвачено может быть любое приложение или процесс Windows, отображающие текст в пользовательском интерфейсе. В подтверждение своих слов эксперт записал видео, в котором успешно захватил CTF-сессию экрана входа в систему Windows 10.

ZDNet сообщает, что Microsoft выпустила исправление (CVE-2019-1162), которое решает описанную Орманди проблему в части повышения привилегий. Однако, как отмечают журналисты издания, сам протокол CTF нуждается в модернизации, поскольку уязвим в силу своей архитектуры.

Орманди выложил на GitHub инструмент, который позволит исследователям самостоятельно протестировать протокол на наличие других проблемы безопасности, а также опубликовал в блоге Google Project Zero более детальное описание проблемы^[10].

Microsoft: 40% атак нулевого дня на Windows успешны

Почти 40% хакерских атак, использующих уязвимости нулевого дня в наиболее актуальных версиях Windows, оказывались успешными по сравнению с менее новыми ОС. Об этом 24 июля 2019 года сообщил специалист Microsoft Security Response Center Мэтт Миллер (Matt Miller), приводя статистику, собранную с 2015 года.

По его данным, в двух из трех случаев уязвимости нулевого дня не работали против новейших версий Windows из-за мер защиты, которые Microsoft добавляет в новые операционные системы.

Как отмечает ZDNet, Мэтт Миллер хочет сказать, что подавляющее большинство уязвимостей нулевого дня, которые эксплуатируют злоумышленники в реальных атаках, работают только против старых версий Windows. Если регулярно обновлять ОС, она будет защищена от некоторых таких атак, передаёт издание.

Выступая на февральской конференции в области информационной безопасности BlueHat IL 2019 Мэтт Миллер говорил, что уязвимости в Windows эксплуатируются до того, как патч выпущен или когда обновление становится неактуальным спустя месяцы после выхода.

В Microsoft утверждают, что благодаря присутствию в Windows 10 набору технологий защиты, таких как Control Flow Guard и Device Guard, пользователи операционной системы при регулярном обновлении могут в определённой мере чувствовать себя в безопасности.

В конце июля 2019 года Мэтт Миллер также привёл данные, согласно которым 70% всех проблем с безопасностью, устраненных Microsoft за последние 12 лет, были связаны с управлением памятью.

В Microsoft Security Response Center работают над снижением числа таких ошибок, поэтому рассматривают язык программирования Rust в качестве альтернативы C и C++.

Доклад на тему безопасности Windows Мэтт Миллер собирается представить на конференции Usenix WOOT 19 в августе.^[11]

Запрет в немецких школах по соображениям безопасности

В середине июля 2019 года стало известно о запрете Microsoft 365 (ранее Office 365) и Windows 10 в немецких школах. Власти опасаются, что персональные данные учеников и учителей могут быть доступны правительству США. Подробнее здесь.

Критическая уязвимость в Windows может вызвать эпидемию масштаба WannaCry и Petya

15 мая 2019 года компания Ростелеком-Solar сообщила о критичной уязвимости, которая грозит очередной волной массовых вирусных заражений. Уязвимости CVE-2019-0708 подвержены операционные системы семейства Windows. Она позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой рабочей станции или сервере.

Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя протокол RDP. Таким образом, в случае если системная служба опубликована на периметре, уязвимость можно проэксплуатировать непосредственно из сети интернет, без использования специализированного вредоносного ПО.

В случае, если будет создано вредоносное ПО, использующее эту уязвимость, оно сможет распространяться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, который в 2017 году нанес ущерб организациям по всему миру. На май 2019 года уязвимость актуальна для прямой атаки из Интернета, как это было в случае WannaCry, для нескольких десятков организаций в России и более 2 млн организаций в мире. Риски реализации более сложной атаки актуальны для практически всех компаний, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью EternalBlue. Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar

Если на внешнем периметре организации есть ранее опубликованный сервис RDP для уязвимой операционной системы – рекомендуем немедленно закрыть этот доступ. Вне зависимости от его наличия необходимо оперативно установить патчи, выпущенные Microsoft, а до того – по возможности ограничить использование протокола внутри организации. Необходимо отнестись к этой ситуации со всей серьезностью, поскольку уязвимости может быть подвержена организация любой отрасли.

В Windows 10 закрыты две опасные уязвимости, открывающие доступ к компьютеру жертвы

22 марта 2019 года компания Positive Technologies сообщила, что ее эксперт Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10.

Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами. В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы. Михаил Цветков, эксперт Positive Technologies

Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью. Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии.

Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей.

Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов (CVE-2019-0726) или сообщить в DHCP-ответе аномально большое количество опций (CVE-2019-0697).

2018

Windows 10 отправляла данные о действиях пользователей в Microsoft

После выхода Windows 10 на Microsoft обрушился шквал негодования, вызванный тем фактом, что ОС «шпионила» за пользователями. Об этом стало известно 13 декабря 2018 года. Хотя компания в итоге внесла изменения (в виде бесчисленного множества опций, которые еще нужно запомнить), дополнительные переключатели на деле мало чем помогают.

В обновленных версиях Windows 10 есть функция «Журнал действий» («Activity History»), позволяющая возвращаться к действиям на устройствах и просматривать историю этих действий на временной шкале при условии, что функция включена («Журнал действий активирован по умолчанию, но его можно отключить).

Временная шкала работает, если включены параметры:

• «Сохранить мой журнал активности на этом устройстве» на странице «Параметры журнала действий»;
• «Отправить мой журнал активности в Майкрософт»;
• «Показывать действия в определенных учетных записях».

Понятно, что первый параметр позволяет отслеживать действия пользователя, а второй отправляет эти данные Microsoft. Тем не менее, даже если отключить все три опции, соответствующие данные все равно будут отображаться на странице account.microsoft.com. Даже если отключить «Журнал действий» через редактор групповой политики, информация по-прежнему будет собираться и отображаться. Можно отключить загрузку и публикацию действий пользователей, но и это не поможет^[12].

В Windows нашли файл, собирающий пароли и сообщения e-mail

В сентябре 2018 года стало известно о существовании в Windows секретного файла, в котором хранятся пароли и переписки по электронной почте. Проблема актуально для пользователей устройств с сенсорными дисплеями.

Как пишет издание ZDNet со ссылкой на эксперта по кибербезопасности из Digital Forensics and Incident Response (DFIR) Барнаби Скеггса (Barnaby Skeggs), файл под названием WaitList.dat используется в Windows для улучшения распознавания рукописного ввода текста, когда пользователь рисует на тачскрине пальцем или стилусом. При текстовом наборе таким способом функция предлагает замену в случае появления ошибки, а также слова, которые владелец компьютера употребляет чаще всего.

По данным Скеггса, как только пользователь начинает писать что-то на экране, текст из каждого документа и электронной почты, который индексируется службой Windows Search Indexer, сохраняется в файле WaitList.dat. Данные из всех текстовых файлов, найденных на компьютере, таких как письма e-mail или документы Office (не только метаданные, но и содержимое), стекаются в WaitList.dat, причем даже безе открытия этих документов и переписок или даже если они были удалены, предупреждает эксперт.

Сам файл находится по следующему адресу:

C:Users%User%AppDataLocalMicrosoftInputPersonalizationTextHarvesterWaitList.dat

Барнаби Скеггс считает, что такой файл является настоящим подарком для хакеров, которым удалось проникнуть в компьютер. Им не нужно искать пароли в браузерах или еще где-то — достаточно скопировать себе WaitList.dat. Найти пароли в этом файле можно при помощи несложных команд PowerShell.

Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.^[13]

Microsoft позволит пользователям Windows 10 просматривать телеметрию

Наряду с релизом крупного обновления ОС Windows 10, запланированного к выходу в апреле-мае 2018 года, компания Microsoft выпустит^[14] приложение Windows Diagnostic Data Viewer, которое позволит пользователям просматривать, какие именно данные телеметрии отправляются с их устройств на серверы производителя. Приложение уже доступно участникам программы Windows Insider.

По словам представителя Microsoft Марисы Роджерс (Marisa Rogers), инструмент позволит пользователям искать, просматривать и фильтровать собранные с устройств данные диагностики (сведения об имени, версии и сборке ОС, идентификаторе пользователя, уровне диагностики, настройках, различные данные об устройстве и браузере, установленных и используемых приложениях, паролях, обновлениях, потреблении контента (фильмы, фото и т.д.), лицензиях и дате их приобретения и пр.).

С помощью приложения пользователи смогут только просматривать данные, но не удалять их. Таким образом владельцы компьютеров и системные администраторы смогут получить представление о том, какие данные собираются, и принять меры по предотвращению сбора некоторой информации из соображений конфиденциальности или соответствия установленным требованиям.

2017

Рекомендуемые стандарты безопасности для устройств под Windows 10

В начале ноября 2017 года Microsoft опубликовала список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих защиту устройства.^[15]

Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.

• В Microsoft рекомендуют использовать процессоры Intel и AMD 7-го поколения, которые включают режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра.
• Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).
• Устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования возможностей виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT) процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).
• Рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module — аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.
• Функция верификации загрузчика платформы не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.
• Оптимальный объем оперативной памяти — не менее 8 ГБ.

В то же время, Microsoft выдвигает следующие требования к программному обеспечению устройства:

• Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.
• Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.
• Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).
• Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.
• В прошивке системы должен быть реализован инструмент Secure MOR revision 2.
• Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Обвинение Голландии в нарушении конфиденциальности данных граждан

В октябре 2017 года Голландский департамент охраны персональных данных (Dutch Data Protection Authority, DPA) обвинил Microsoft в нарушении местных законов о конфиденциальности информации, принадлежащей людям, которые пользуются компьютерами на операционной системе Windows 10.

Регулятор пришел к выводу, что Microsoft не информирует пользователей о том, что компания постоянно собирает данные об используемых приложениях и посещениях интернет-страниц в браузере Edge, когда тот запускается с настройками по умолчанию.

Критика DPA также связана с тем, что Microsoft не сообщает клиентам о типе собираемых данных и целях этих действий. Кроме того, практика американской компании не предполагает того, чтобы люди могли давать реальное согласие на обработку своих персональных данных.

Оказывается, что операционная система Microsoft следит за каждым шагом, который вы делаете на своем компьютере. Это приводит к навязчивому вторжению в вашу учетную запись, — говорит вице-председатель DPA Вилберт Томесен (Wilbert Tomesen). — Что это значит? Знают ли люди об этом, хотят ли они этого? Microsoft должна предоставить пользователям справедливую возможность самим решить это.

Если компания не устранит все эти нарушения, на нее могут быть наложены санкции, в том числе штраф, добавляют в DPA.

Microsoft не раз критиковали за свое отношение к вопросам конфиденциальности. В обновлении Creators Update для Windows 10 появилась новая структура настроек приватности, однако в DPA утверждают, что этот апдейт не устраняет нарушения, выявленные в ходе расследования.

По данным Голландского департамента охраны персональных данных, к октябрю 2017 года в Нидерландах насчитывается более 4 млн активных устройств на базе Windows 10 Home и Pro.^[16]

Какие данные собирает Windows 10: официальный список

7 апреля 2017 год компания Microsoft опубликовала официальный перечень пользовательских данных, собираемых ОС Windows 10.

Вместе с этим заявлением корпорация внесла изменения в настройки приватности Windows 10. Теперь каждый пользователь вправе выбрать из двух пакетов информации, который будет собирать о нем его система – базовый или расширенный. Эти изменения входят в состав апдейта ОС Creators Update, запланированного на 11 апреля 2017 года^[17].

Собираемая информация:

• все установленные на ПК приложения, включая удаленные,
• слежение за работой сети подключения,
• учет подключаемых периферийных устройств:
  • клавиатуры,
  • мыши,
  • принтеры,
  • накопители
  • и т.п.
• сбои системы,
• обновления,
• дата приобретения лицензии,
• производительность компьютера,
• браузеры
  • история посещений,
  • поисковые запросы.

Для анализа в США система отсылает данные о выбранном языке интерфейса, названии и версии.

Это относится к действующей на 7 апреля 2017 года версии системы. После установки Creators Update каждый пользователь сможет выбрать базовый пакет отсылаемых данных, количество которых в нем сокращено вдвое. В этот набор входят данные о качестве работы ОС, информация о компонентах компьютера и сведения о совместимости приложений. Полный пакет не отличается от действующего.

Microsoft не сообщила — что потребует от пользователя в обмен на активацию базового пакета телеметрии, поскольку, если он будет полностью бесплатным, никто не станет выбирать полный пакет. Ожидать опцию полного отключения слежения не стоит.

2016: Windows Subsystem for Linux способна спрятать вирусы

13 сентября 2017 года стало известно о наличии в подсистеме Windows Subsystem for Linux потенциала для сокрытия вредоносного ПО.

В марте 2016 года Microsoft объявила о поддержке командного интерпретатора bash в Windows 10. Для этого компания вместе с Canonical создала подсистему Linux — Windows Subsystem for Linux, WSL. Она поддерживает запуск Linux-приложений без использования контейнеров виртуализации, отдельной пересборки утилит и без использования ядра Linux — нативные исполняемые файлы ОС запускаются посредством специальной прослойки, «на лету» транслирующей системные вызовы Linux в системные вызовы Windows^[18].

WSL создавался как проект, независимый от конкретных дистрибутивов Linux. Однако, в первой версии уже оптимизирован для работы с Ubuntu. В Windows 10 появилась поддержка openSUSE Leap, и после обкатки WSL в пользовательской версии Windows Microsoft решила добавить ее в серверную редакцию операционной системы. По прошествии нескольких месяцев с момента появления WSL в «десятке», прозвучали мнения аналитиков — подсистема может послужить препятствием для обнаружения вирусов.

По мнению экспертов Check Point, с помощью WSL на ПК можно запускать ряд известных вредоносов, делая их незаметными для наиболее распространенных инструментов защиты от вирусов. Проблема не в WSL, отметили эксперты, а в беспечности разработчиков антивирусного ПО и систем безопасности.

Метод, разработанный специалистами, позволяет незаметно запускать любое вредоносное ПО в Windows 10. Злоумышленники имеют перспективы до поры, пока не будет создан эффективный механизм защиты ПК с Windows 10 и WSL. Этот метод получил название bashware, поскольку он использует командную оболочку bash, через которую запускаются Linux-приложения.

По мнению инженеров Check Point, создатели антивирусного ПО не обратили особого внимания на WSL потому, что полагали, будто эту подсистему нужно активировать вручную. Поскольку возможность запускать приложения Linux в Windows нужна в основном разработчикам, ее включает сравнительно небольшое количество пользователей. Как сообщила Microsoft, для этого нужно активировать режим разработчика, установить компонент, перезагрузить устройство и развернуть WSL.

Bashware автоматизирует эти шаги и запускает функцию автоматически. Для активации режима разработчика достаточно изменить несколько разделов в реестре. Это может выполняться фоном, незаметно для пользователя. Что касается перезагрузки, то хакер может либо подождать, пока жертва выключит компьютер, либо инициировать критическую ошибку, которая повлечет за собой перезапуск ОС. После этого bashware загружает необходимое окружение, созданное на платформе Ubuntu, и запускает в ней вредоносное ПО. Драйверы WSL можно загрузить на компьютер вручную и без перезагрузки.

Windows расценивает запуск Linux-приложения как пико-процесс — тип процесса, структурно отличный от тех, что происходят при запуске нативных программ. Исследователи выяснили — ни один антивирус не отслеживает эти процессы, несмотря на то, что Microsoft предоставила разработчикам антивирусов Pico API. Для работы с bashware не нужно писать специальные вирусы для Linux, которые будут потом запущены в атакуемой Windows с помощью WSL. Благодаря программе Wine можно использовать обычное вредоносное ПО для Windows, в том числе давно известное — оно будет скрыто от антивирусов.

2015

Пять бюллетеней безопасности Windows 10 за 2 недели

11 августа 2015 года компания Microsoft представила пять бюллетеней безопасности, затрагивающих Windows 10, ещё один относится к браузеру Microsoft Edge, всего с момента выхода этой версии ОС выпущено 14 бюллетеней. В новом выпуске — традиционные для второго вторника месяца обновления других продуктов Microsoft^[19].

Три из них относятся к разряду критических, эти обновления рекомендуется установить как можно скорее. В их числе MS15-079, MS15-80 и MS15-81, закрывающие уязвимости Windows, Internet Explorer (браузер) и Microsoft Office. По словам аналитика Вольфганга Кандека, 40% выпущенных в этом месяце компанией Microsoft обновлений предназначены для Windows 10. Для сравнения, в первые два месяца после релиза Windows 8 для неё выпускалось 60% от общего числа обновлений для продуктов Microsoft.

Для Office критические обновления выпускаются редко. В этом выпуске закрывается уязвимость, через которую атакующие могут получить контроль над системой пользователя, заставляя его открыть специально созданный документ Word. По данным Microsoft, эта уязвимость уже используется злоумышленниками.

Бюллетень MS15-085 относится к уязвимости, в рамках которой для получения доступа в систему используются USB-флэш, содержащие код, активируемый при её подключении к устройству. Примеры этого уже имеются.
На бюллетень MS15-083 стоит обратить внимание пользователям Windows Vista и Windows 2008, работающим с файлообменными сервисами с протоколом SMB (Small Message Block).

Обзор новшеств в сфере ИБ в Windows 10

В 2015 году до официального старта продаж ОС Windows 10 обозреватели анализировали какие полезные для предприятий функции безопасности были добавлены в новый продукт.

Microsoft рекламирует улучшения в таких областях, как защита личных данных и контроль доступа, защита информации и устойчивость к угрозам. Например, в области контроля доступа, в Windows 10 будет нативная двухфакторная аутентификация, поскольку Microsoft пытается заставить пользователей выйти за пределы метода использования одного пароля, который оказался слишком уязвимым. С двухфакторной аутентификацией, злоумышленники должны получить две части информации, чтобы взломать систему, такие как пароль и код, посылаемый на устройство пользователя, например, на смартфон.

В части защиты информации Windows 10 оснащена технологией предотвращения потери данных (DLP), заключающейся в том, чтобы разделить личные и корпоративные данные, а также защищает последние с помощью «сдерживания». Корпоративные приложения, данные, электронная почта, веб-контент и другая конфиденциальная информация будет автоматически шифроваться в Windows 10 — как в настольных ПК, так и в мобильных устройствах.

ИТ-специалисты получат возможность разрабатывать политики контроля — какие приложения могут получать доступ к корпоративным данным. Windows 10 расширяет возможности управления VPN для защиты корпоративных данных в устройствах, принадлежащих сотрудникам.

В сфере устойчивости к угрозам и вредоносным программам, у Windows 10 будут функции блокирования устройств, позволяя пользователям запуск только приложений, подписанных с помощью сервиса подписи Microsoft.

ИТ-администраторы смогут определять, какие приложения они считают заслуживающими доверия: те, которые они подписывают сами, которые подписаны независимыми поставщиками программного обеспечения, или те, которые доступны в Microsoft Store (бывший Windows Store), или все из них.

2014: Наталья Касперская: в ОС Windows есть опасные «закладки»

Говоря об обеспечении информационной безопасности государства как об одной из целей импортозамещения, гендиректор группы InfoWatch Наталья Касперская на круглом столе в Госдуме в июле 2014 г. выразила уверенность, что в ОС Windows присутствуют «закладки», которые могут нанести ущерб стране.

«У меня нет никаких сомнений, что они там есть, и что в какой-то момент их активировать не представляет никакой сложности, в том числе в тех компьютерах, которые считаются защищенной средой: только потому, что такая техническая возможность есть. Важны именно возможности», — сказала Касперская.

Она добавила, что нет возможности проверить «все многомиллионные строки кода Windows, которые написали разработчики, поскольку для этого нужно иметь штат разработчиков, равный тому, что имеется в Microsoft».

Развивая тему, Наталья Касперская отметила, что все понимают, «что может быть, если, например, Microsoft будет предписано поставить какие-нибудь вредоносные обновления на территории всей страны и когда по всей стране все компьютеры практически в одночасье выключатся».

Возможности «закладок» на практике пока не были реализованы, поскольку Россия не находится в состоянии открытых военных действий: «если же предположить на секунду, что страна находится в таком состоянии, то они могут быть активированы», полагает гендиректор InfoWatch.

Директор по информационной безопасности Microsoft в России Владимир Мамыкин по этому поводу заявил TAdviser, что одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов корпорации, является ее сотрудничество с государством и выполнение национальных требований к сертификации ПО.

Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. На сегодня сертифицированы уже более 40 продуктов, включая Windows 8. Наши клиенты, в числе которых и госзаказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям», — говорит Мамыкин.

Сергей Груданов, гендиректор компании «Сертифицированные информационные системы» отмечает, что основой безопасности информационных систем является проверка использованного в них ПО на соответствие российским требованиям по безопасности, предъявляемых ФСТЭК и ФСБ. Возможность анализировать исходные коды, в том числе и на предмет отсутствия в них закладок, предоставляется Microsoft российским спецслужбам уже более 10 лет, а сама компания получила наибольшее число сертификатов, выданных зарубежным производителям ПО, говорит Груданов.

Примечания

Независимо от того, насколько надежна операционная система, она не может быть полностью лишена возможных угроз. Учитывая то, что кибер-преступники постоянно повышают свои навыки и знания, неудивительно, что они регулярно придумывают новые кибер-угрозы. Это непрерывный цикл, где любая задержка или ошибка может открывать новые точки входа для непрошеных гостей.

И если операционная система уязвима, значит и пользователи, использующие эту систему, также уязвимы. Если говорить о компаниях, то во многих случаях они доверяют свою корпоративную информационную безопасность какому-то одному программному решению по умолчанию, но опыт показывает, что этого недостаточно. И теперь этому есть еще больше доказательств. Более того, от этого может пострадать огромное количество пользователей и компаний во всем мире.

Уязвимости в Windows 10

Это именно то, что произошло с Windows 10. Несколько уязвимостей было обнаружено в этой новой версии самой широко используемой операционной системы в мире практически сразу с момента ее запуска. Но теперь прозвучал еще один звоночек. В данном случае уязвимость находится в ExploitGuard CFA File Creator – инструмент, который Windows предоставляет пользователям для отслеживания изменений, которые могут делать некоторые программы с файлами внутри определенных папок. Цель данного инструмента вполне понятна: он позволяет пользователям контролировать возможный нежелательный доступ и предотвращать потенциальные атаки со стороны ненадежных программ.

Но, говоря откровенно, результаты могли быть более продуктивными. Как продемонстрировал эксперт по информационной безопасности Соя Аояма, существует возможность вставить вредоносный DLL таким образом, что когда запускается Internet Explorer (который находится в белом списке надежных программ у CFA), то в защищаемые папки может быть вставлен шифровальщик. Т.е. данная кибер-атака использует определенное программное обеспечение, которое предположительно является безвредным (Internet Explorer), чтобы попасть в эти защищенные папки.

Во всей этой истории хуже всего то, что до текущего момента Windows Defender, который уже имел одну или две проблемы, не в состоянии обнаруживать эту проблему в данной системе. Но и это еще не все: когда Аояма обнаружил эту уязвимость, то разработчики не посчитали необходимым выпустить соответствующий патч, т.к. по их мнению, чтобы риск стал реальным, злоумышленник должен иметь несанкционированный доступ к системе до того, как он внедрит DLL.

Если применить все это к корпоративному окружению, то риски вполне очевидны. В момент, когда DLL попадает в защищенные папки сотрудника, она могла бы инициировать цепочку атак на оставшуюся часть компании, что привело бы к серьезной проблеме информационной безопасности данной компании.

Как избежать уязвимостей?

Если говорить про домашних пользователей, то здесь все предельно просто: регулярно обновляйте операционную систему и все используемые приложения, а также используйте антивирус с возможностью контроля защищенных папок (например, такие функции предоставляет антивирус Panda Dome, начиная с тарифного плана Advanced и выше).

Если же говорить про корпоративных пользователей, то вполне очевидно, что в свете этих рисков компании не могут целиком и полностью полагаться только на те инструменты безопасности, которые предоставляются самой операционной системой, — они должны разработать свои собственные меры предосторожности.

1. Кибер-устойчивость. 90% компании признались в том, что они не являются кибер-устойчивыми. А это именно то, что необходимо менять прямо сейчас. В условиях, когда атаки постоянно модифицируются и когда постоянно появляются новые стратегии и инструменты нападения, компании должны более активно защищать свою корпоративную информационную безопасность и периодически обновлять свои процессы и системы оповещения.

2 . Безопасность 360º. Иногда некоторые решения информационной безопасности фокусируются на обнаружении возможных уязвимостей в точках входа, при этом забывая про сами конечные устройства. С этой целью Panda Patch Management (дополнительный модуль для корпоративных решений безопасности Panda, включая и Panda Adaptive Defense 360), заботится о полном мониторинге возможных кибер-атак и нежелательного доступа: от обнаружения и планирования до установки и мониторинга патчей и обновлений. Более того, Panda Patch Management также обращает внимание и на сторонние приложения, которые могут стать инструментом для атаки на Windows 10, и предоставляет видимость работоспособности конечных устройств в реальном времени с точки зрения потенциальных уязвимостей, наличия патчей или ожидаемых обновлений, а также работы программ, у которых закончился «срок жизни» (EoL).

3. Проверьте CFA. Если устройство в вашей компании подверглось вторжению при использовании ExploitGuard CFA File Creator, стоит проверить его, особенно для того, чтобы выяснить, каким приложениям он предоставляет права доступа. В случае, если в его белом списке есть программы, которым вы не можете полностью доверять, их необходимо убрать из белого списка.

4. Обновления. С другой стороны, компании должны убедиться в том, что все их приложения имеют соответствующие обновления, т.к. 99,96% активных уязвимостей в корпоративных средах уже имеют соответствующие обновления, и если бы они были своевременно установлены, то они могли бы существенно снизить риски безопасности.

На любое электронное устройство сложнее калькулятора должна быть установлена какая-либо операционная система, а наиболее популярной и известной среди таковых в настоящее время является Windows 10, если говорить об ОС для компьютеров, планшетов и ноутбуков. Сегодня, 16 августа 2019 года, произошло просто невероятное, потому что американская корпорация Microsoft выпустила для десятой «винды», а также для ряда других, специальный патч. Он содержит в себе исправления для 98 уязвимостей. В это сложно поверить, но все они до этого самого момента были в ОС, будучи доступными для использования кому-либо.

Отмечается, что 29 брешей являются критическими, тогда как еще 64 являются просто опасными, то есть они лишь теоретически могут использоваться для взлома всей операционной системы. Такой чреват тем, что вредоносное программное обеспечение попадет в компьютер, планшет, ноутбук или же моноблок, а затем начнет следить за пользователями, воруя его личные данные. Такое, что очевидно, навряд ли кому-то понравится, тем более что подобное ПО также может начать показывать рекламу, использовать электронное устройство для участия в хакерских атаках, а также выполнять множество других действий, вплоть до порчи каких-либо пользовательских файлов, вроде их зашифровки с целью выкупа.

Новый патч для Windows 10 доступен для установки с сегодняшнего дня, а закрывает он сразу одновременно 93 опасных брешей в системе защиты. Точно такой же апдейт выпустили для операционных систем Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2. Без его установки существует большая доля вероятности, что сторонние разработчики, конечно же недобросовестные, используют эти уязвимости для каких-либо противоправных действий. Некоторые уязвимости связаны с такой функцией, как RDP. Она представляет из себя специальные службы для использования удаленного рабочего стола.

Компания Microsoft настоятельно рекомендует всем установить патч для Windows 10 и других ОС как можно скорее, потому что только так можно защитить свой компьютер, планшет, ноутбук или моноблок от взлома. Без этого самого апдейта даже сторонние антивирусы не смогут каким-либо образом обеспечить полную защиту, потому что речь идет об уязвимостях на уровне системы, в связи с чем даже специальное ПО для защиты электронного устройства не сможет такое в полной мере распознать, а значит оно нанесет вред пользователю и тем личным данным, которые он хранит на накопителе.

Ранее стало известно о том, что простая функция в Windows 10 повышает скорость работы в два раза.

Присоединяйтесь к нам в Google News, Twitter, Facebook*, Instagram* (*площадки признаны в России экстремистскими), ВКонтакте, YouTube и RSS чтобы следить за новостями и оперативно получать интересные материалы.