Vo Windows extrémna zraniteľnosť umožňujúca vytvoriť efektívneho červa

Značky: Windowsbezpečnosť

DSL.sk, 9.5.2017

V štandardnej konfigurácii všetkých posledných verzií Windows sa nachádza extrémne vážna bezpečnostná zraniteľnosť, ktorá umožňuje efektívny útok na počítače bez aktívnej súčinnosti užívateľa a má tak teoretický potenciál pre vytvorenie červa.

Chyba sa nachádza v antivírusovom skenovacom jadre, ktoré je prítomné vo Windows ako súčasť riešenia Windows Defender.

Objavila ju dvojica bezpečnostných expertov Tavis Ormandy a Natalie Silvanovich z tímu Google Project Zero.

Objavenie chyby oznámil neskoro v piatok Ormandy samozrejme najskôr bez uvedenia detailov, chybu označil za najhoršiu chybu umožňujúcu vzdialené spustenie kódu v nedávnej pamäti. Dnes Google uvoľnil detailný popis chyby po tom, ako ju Microsoft promptne opravil.

Chyba sa nachádza v komponente antivírusového enginu analyzujúcom JavaScript kód formou interpretera. Konkrétne spočíva v nedostatočnej kontrole typov a umožňuje útočníkovi spustiť ním zvolený kód pri vydávaní premennej iného typu za dlhý reťazec.

Vážnosť chyby spočíva vo viacerých aspektoch. Engine beží so systémovými oprávneniami a bez sandboxingu, zneužitie chyby tak vedie k ľahšiemu získaniu kontroly nad systémom ako je to napríklad v prípade zneužívania chýb vo webových prehliadačoch. V najnovších verziách Windows môže zneužitie chyby na spustenie kódu podľa Microsoftu sťažiť technológia Control Flow Guard.

Zároveň pre zneužitie nie je potrebná aktívna súčinnosť užívateľa ako napríklad návšteva podvrhnutej stránky. Útočníkovi stačí dostať do PC akýkoľvek súbor, ktorý bude preskenovaný enginom, napríklad zaslať mu email. Chyba sa zneužije hneď ako emailový klient email stiahne a uloží ho na disk.

Chyba tak nemá taký potenciál na šírenie ako niektoré chyby z minulosti, pri ktorých mohol získať útočník kontrolu nad Windows iba po sieťovej komunikácii s daným PC. Na druhej strane tieto chyby vyžadujúce priamy sieťový prístup vyžadovali u počítačov, ktoré sa nachádzali za firewallom a NAT-om, prístup cez LAN. U tejto chyby sa adresne neútočí na počítač ale užívateľa a chyba má tiež potenciál na vznik červa.

Chyba sa nachádza vo Windows Defenderi štandardne prítomnom a aktivovanom vo Windows 10, 8.1 respektíve 8 a zrejme aj 7 a tieto systémy sú tak zraniteľné. Okrem toho sa nachádza aj ďalších antivírusových riešeniach Microsoftu, ako Security Essentials a rozličných verziách Endpoint Protection. Microsoft promptne vydal opravu, ktorá sa užívateľom cez automatické aktualizácie antivírusového enginu nainštaluje automaticky. Skontrolovať si zraniteľnosť je možné overením verzie antivírusového enginu, keď zraniteľnosť je opravená od novej verzie 1.1.13704.0.

Zraniteľnosť v antivírusom engine Microsoftu bola objavená po tom, ako v posledných rokoch Google Project Zero identifikoval podobné vážne chyby v mnohých antivírusoch tretích strán. V prípade Microsoftu je problém o to vážnejší, že jeho riešenie je štandardne prítomné na všetkých PC.

Informácie zároveň prichádzajú len niekoľko mesiacov po tom, ako Defender viacerí tvorcovia webových prehliadačov vrátane tvorcov Chrome chválili ako jediný dobrý antivírus.

Z dostupných informácií zatiaľ nie je jasné, či sú zraniteľné aj počítače s Windows s aktívnym antivírusom tretej strany alebo antivírusová technológia Microsoftu vtedy za žiadnych okolností nerealizuje kontrolu žiadneho obsahu.

Oznámenie Google ale celkovo upozorňuje na systémový problém antivírusového enginu vo Windows kvôli jeho vysokým oprávneniam, absencii sandboxu a ľahkým prístupom k zneužitiu podvrhnutím akéhokoľvek obsahu. Akékoľvek prípadné objavené bezpečnostné zraniteľnosti tak takmer automaticky vyústia do vážneho problému.




Najnovšie články:



inzercia



Diskusia:

....................... Od: tenodtal | Pridané: 9.5.2017 10:50 takze ms kupi defender od firmicky lebo sam nevie vymyslet.. ale firmicka tam mala chybicku.. takze zas to iste sa bude donek. opakovat.. chybicka od firmicky umoznuje na lanke vecy.. esteze len na lanke. chybicka od firmicky a ms chybicku nevidela lebo su tam nekompetentny babraci v ms. nieco ako dinosauri v rtvs co su tam 50 rokov a viac. a ilko ojebava aj ked nechce s tym pocasim lebo nema sajn a nic nevie. nic nevie a preto mu to nikdy nevyjde ta predpoved. a este k tomu ze nic nevie chce moc vela chce klamat lebo ma stihomam. a vecer pred spanim sa tesi z toho kolko ludi zas oje.al s tou predpovedou. tesi sa a nezaspi lebo sa tesi ako a kolko oje.al zas oje.al. tolko radosti..ach jaj tolko radosti. :D Odpovedať Známka: -8.8 Hodnotiť:

Re: ....................... Od: joskooooooo | Pridané: 9.5.2017 11:03 riatis sa cheslom soper trogi, nie logdu? lepo mas qualytne trogi... presrat tajomstvo, pyko alebo nieco ine. ale nemosem ti pranit prat to ket je to tolesite pre teba Odpovedať Známka: -4.7 Hodnotiť:

Re: ....................... Od: v hlave | Pridané: 9.5.2017 13:25 Tiež máš červa. Odpovedať Známka: 3.7 Hodnotiť:

sabotáž Od: sabotáž | Pridané: 9.5.2017 13:27 Pracovné Pc jedine offline. Odpovedať Známka: -5.4 Hodnotiť:

Re: sabotáž Od: župa linux | Pridané: 9.5.2017 13:31 Ak niekto vytvára niečo nové a má v Pc originálny hodnotný obsah, tak musí byť offline. Potom je jedno čo používa na prehrebanie internetoveho smetiska. Odpovedať Známka: -0.8 Hodnotiť:

Re: sabotáž Od: hanba | Pridané: 9.5.2017 13:36 V Linuxe su tiež chyby, ale aspoň neplatil za odosielanie mojich dát centralne veľkému bratovi. Odpovedať Známka: 0.7 Hodnotiť:

Re: ....................... Od: vgy | Pridané: 9.5.2017 11:07 S tym pocasim: kedysi este na Nove chodilo Pocasicko so zenami hore bez. Ale sa to neujalo, kto vie preco. Odpovedať Známka: 1.1 Hodnotiť:

Re: ....................... Od: O pičiak | Pridané: 9.5.2017 11:20 Lebo ráno treba vstávať do roboty,a veľa chlapov kvôli tomu aby videli cecky nebude tak dlho hore. Odpovedať Známka: 1.8 Hodnotiť:

Re: ....................... Od: Divák | Pridané: 9.5.2017 22:11 Sa to neujalo hlavne preto, lebo tie ženy sa vždy hneď poobliekali a to takou rýchlosťou akou som ešte nikoho nevidel sa obliecť, takže z tých nahých pŕs nakoniec bol pár sekundový záber, takže kto to sledoval kvôli nahým prsiam si radšej naladil porno. Odpovedať Hodnotiť:

Re: ....................... Od: grr. | Pridané: 9.5.2017 22:07 K tomu produktu ktorý kúpili od firmičky... Išlo o firmičku Giant Software a nekúpili len jej produkt Giant Antispyware ktorý bol v časoch Windowsu XP hviezdou medzi ochranami proti vírusom, ale to bola akvizícia celej firmy ako takej, takže tvorcovia Giant Software zrazu boli zamestnancami Microsoftu a ich produkt Giant Antispyware sa premenoval na Microsoft Essentials Security, takže nie Windows Defender a zmena názvu nebola jedinou zmenou. Ešte by sa dala spomenúť jedna zásadná zmena a síce, že z produktu špičkovej kvality v identifikácii a kompletnom odstraňovaní vírusov sa v réžii Microsoftu stal špičkový treťotriedny prepadák. Odpovedať Známka: 6.0 Hodnotiť:

Tutilok Od: Milanoza | Pridané: 9.5.2017 11:25 Kazda volna diera je dolezita ... Odpovedať Známka: 2.0 Hodnotiť:

hmmmmm Od: Reikii | Pridané: 9.5.2017 12:05 Konečne som prišiel na to, o čo sa MS snaží. Pokúšajú sa mať vo Windowse čo najviac dier. Prečo? No aby bol deravý ako sieť! Na čo je to dobré? Sieť je taká deravá, že keď do nej urobíte dieru, tak bude mať menej dier než predtým. MS sa snaží to isté urobiť s Windowsom! Odpovedať Známka: 4.6 Hodnotiť:

Windows Od reg.: kamaradzkosicrobihiphopcijeho | Pridané: 9.5.2017 12:58 pohode, pri windows 10 si to nikto nevsimne ze sa mu deje s PC co by nemalo... Odpovedať Známka: 3.3 Hodnotiť:

Re: Windows Od: koumak | Pridané: 9.5.2017 14:42 Mne sa cez vikend updatoval win10pro po dlhsom case a dopadlo to zhodne ako na minulorocne vianoce - uz to proste nerozchodil :) Tesim sa na dalsi cisty reinstall, esteze na tom PC mam viacero OS, inak by som si ani maily nebol mal ako precitat ;) Mam pocit, ze vo win10 su zabudovane kurvitka, ktore ludom, co odinstaluju ten ich zbytcny MS balast a moc si prisposobia OS na pouzitelny, tak pri najblizsej moznej prilezitosti (vacsi update) ho uplne dochramaju, aby to nezvladla rozchodit uz ziadna oprava. Odpovedať Známka: 2.9 Hodnotiť:

Re: Windows Od: supertux | Pridané: 9.5.2017 15:00 este ze my na unixoch take probleem nemusime riesit :)) pozdravujem z macOS Odpovedať Známka: -6.0 Hodnotiť:

Ale čo... Od: Menovec | Pridané: 9.5.2017 13:08 Nemusím žiadne červy vytvárať. Mám ich v záhrade aj dosť. Odpovedať Známka: 0.0 Hodnotiť:

Re: Ale čo... Od: zahradkar | Pridané: 9.5.2017 15:51 je tam mam uz aj pandravy, krtonozky, slizniaky a mravce :) Hotova dzungla ! Odpovedať Známka: -3.3 Hodnotiť:

Re: Ale čo... Od: Laco Melisko | Pridané: 9.5.2017 16:21 Pozri sa, samý mravec! Tá špina vodu nedala spraviť! Pozri, samý mravec chodí po byte! Odpovedať Známka: 0.9 Hodnotiť:

Neaktivne aktualizacie Od: Asdf3 | Pridané: 9.5.2017 15:48 Akurat ze Microsoft nepriamo donutil kopec ludi deaktivovat automaticke aktualizacie lebo svchost vytazoval vzdy jedno jadro na 100%. Velmi sa to prejavovalo na win7 ale velmi som sa smial ked to zacal robit aj Win10. Odpovedať Známka: 0.8 Hodnotiť:

Re: Neaktivne aktualizacie Od: dsfsdgdg | Pridané: 9.5.2017 18:32 S novymi AMD procakmi mozu vytazovat aj 2-3 jadra, nebude to vadit :D Odpovedať Známka: -7.8 Hodnotiť:

Cervy Od: ratibor z trstic | Pridané: 9.5.2017 19:12 a červi se rozlezou Bič Boží! Bič Boží! Bič Boží! je vyžene! Bič Boží! Bič Boží! Bič Boží! je vyžene! Odpovedať Známka: 7.1 Hodnotiť:

technologia balsaja Od: prdlajs | Pridané: 10.5.2017 19:16 Tak uz vieme, preco pred par mesiacmi vyhlasovali "experti", ze Defender je najlepsi. Pravdepodobne dostali vtedy echo o tej chybe, a keby sa to vtedy prevalilo, tak by to PR aspon zlahcilo pre nich situaciu. PR masaz sa za ten cas stihla spravit, chybu opravili dnes (ako zvycajne pol roka po nahlaseni), takze konecne mohli s pravdou von a este si aj spravili pozitivny imidz. Odpovedať Hodnotiť:

Pridať komentár