Разработчик: Рансъмуер защитата в Windows 10 може да бъде преодоляна лесно
С излизането на Fall Creators Update за Windows 10, Microsoft анонсира входа на изключително потребна защитна функционалност, която е вградена в операционната система. Става дума за “Контрол на достъпа до папки” (Control folder access), целящ отбраната от рансъмуер – характерност, която ви подсигурява, че дори и да станете жертва на криптовирус, част от информацията ви ще остане незасегната.
Въпросната функционалност е част от Windows Defender Exploit Guard и чрез нея може да определите кои стратегии може да получават достъп до избрани папки. Системата следи в действително време какво се случва и в случай че стратегия, на която не е позволено авансово да доближава избрани елементи от Windows, тя няма да може да го направи. На доктрина. На процедура обаче може би не е по този начин. Поне съгласно Яго Жезус, експерт по осведомителна отбрана, който изяснява, че функционалността може да бъде преодоляна елементарно от законно приложение, да вземем за пример MS Office.
Оказва се, че в дизайна на характерността има пропуск. По подразбиране, на изпълнимите файлове на Ofiice им е позволено да вършат промени по файловете в предпазените папки, дори и в случай че злоумишленик употребява OLE/COM обекти, с цел да манипулира тези файлове. “По този метод, създател на рансъмуер стратегия може да изготви софтуера си да употребява сходни обекти, с цел да трансформира, изтрива или криптира файлове без знанието на притежателя на системата. Освен това, Windows Defender няма да записва зловредна активност, тъй като програмата ще употребява вградената в MS Office функционалност за криптиране. Според Жезус, това прави следения достъп до папки изцяло ненужен. Същият способ може да бъде прибавен и към изображения, PDF и различен вид файлове, които могат да бъдат редактирани от Office. “Макар и тази функционалност да цели отбраната от рансъмуер, то тя не съумява да отговори на всеки един сюжет. Използването на Office файлове, която е разказана нагоре, съставлява ефикасен метод за разпространителите на зловредни стратегии да заобикалят засичането от антивирусни инструменти”, разяснява на собствен ред Лени Зелтцер от Minerva LAbs.
Жезус осведоми Microsoft, които на собствен ред признават за съществуването на този пропуск, само че в това време са безапелационни, че Defender Exploit Guard не съставлява граничен периметър на сигурността.
Както откритието на Жезус, по този начин и отговорът на Microsoft предизвикаха интереса на експертите. “Честно казано считам, че това съставлява типичен образец за подвеждане”, споделя за SecurityWeek Джоузеф Карсън от Thycotic. “Това е все едно да поставите надзирател на входа на постройката, който да ревизира всеки, искащ да влезе, че има нужното позволение за това и в това време да сте оставили необятно отворена задната врата. Това е подправено възприятие за сигурност, защото един тип разчитате на това нарушителите да са почтени. Когато слагате име на един артикул “Защитник на Windows” (Windows Defender) или употребявате име като Defender Exploit Guard, и сте алармиран от експерт за пропуск в сигурността, то е ясно, че ще спазите юридическата уместност, изтъквайки, че “ние не класифицираме това като накърнимост в отбраната, защото Defender Exploit Guard не е предопределен да е гранична защита”, възмущава се Карсън. Той допуска, че този пропуск може към този момент и да е и употребен в офанзива и фирмите е добре да не разчитат само на Windows Defender за отбрана на активите си, изключително щом самите Microsoft декларират, че програмата не съставлява “граница на защитата”. “Веднага сменете името от това, което е сега и не подвеждайте хората във подправено възприятие за сигурност и защитеност”, поучава той.
Въпросната функционалност е част от Windows Defender Exploit Guard и чрез нея може да определите кои стратегии може да получават достъп до избрани папки. Системата следи в действително време какво се случва и в случай че стратегия, на която не е позволено авансово да доближава избрани елементи от Windows, тя няма да може да го направи. На доктрина. На процедура обаче може би не е по този начин. Поне съгласно Яго Жезус, експерт по осведомителна отбрана, който изяснява, че функционалността може да бъде преодоляна елементарно от законно приложение, да вземем за пример MS Office.
Оказва се, че в дизайна на характерността има пропуск. По подразбиране, на изпълнимите файлове на Ofiice им е позволено да вършат промени по файловете в предпазените папки, дори и в случай че злоумишленик употребява OLE/COM обекти, с цел да манипулира тези файлове. “По този метод, създател на рансъмуер стратегия може да изготви софтуера си да употребява сходни обекти, с цел да трансформира, изтрива или криптира файлове без знанието на притежателя на системата. Освен това, Windows Defender няма да записва зловредна активност, тъй като програмата ще употребява вградената в MS Office функционалност за криптиране. Според Жезус, това прави следения достъп до папки изцяло ненужен. Същият способ може да бъде прибавен и към изображения, PDF и различен вид файлове, които могат да бъдат редактирани от Office. “Макар и тази функционалност да цели отбраната от рансъмуер, то тя не съумява да отговори на всеки един сюжет. Използването на Office файлове, която е разказана нагоре, съставлява ефикасен метод за разпространителите на зловредни стратегии да заобикалят засичането от антивирусни инструменти”, разяснява на собствен ред Лени Зелтцер от Minerva LAbs.
Жезус осведоми Microsoft, които на собствен ред признават за съществуването на този пропуск, само че в това време са безапелационни, че Defender Exploit Guard не съставлява граничен периметър на сигурността.
Както откритието на Жезус, по този начин и отговорът на Microsoft предизвикаха интереса на експертите. “Честно казано считам, че това съставлява типичен образец за подвеждане”, споделя за SecurityWeek Джоузеф Карсън от Thycotic. “Това е все едно да поставите надзирател на входа на постройката, който да ревизира всеки, искащ да влезе, че има нужното позволение за това и в това време да сте оставили необятно отворена задната врата. Това е подправено възприятие за сигурност, защото един тип разчитате на това нарушителите да са почтени. Когато слагате име на един артикул “Защитник на Windows” (Windows Defender) или употребявате име като Defender Exploit Guard, и сте алармиран от експерт за пропуск в сигурността, то е ясно, че ще спазите юридическата уместност, изтъквайки, че “ние не класифицираме това като накърнимост в отбраната, защото Defender Exploit Guard не е предопределен да е гранична защита”, възмущава се Карсън. Той допуска, че този пропуск може към този момент и да е и употребен в офанзива и фирмите е добре да не разчитат само на Windows Defender за отбрана на активите си, изключително щом самите Microsoft декларират, че програмата не съставлява “граница на защитата”. “Веднага сменете името от това, което е сега и не подвеждайте хората във подправено възприятие за сигурност и защитеност”, поучава той.
Източник: kaldata.com
КОМЕНТАРИ