Uusi Windows 10 -haavoittuvuus ohittaa käyttöjärjestelmän puolustukset, sanoo tietoturvatutkija

Microsoft antaa vihreän valon entistä tehokkaammalle Windows-tietoturvalle. TechRepublicin Brandon Vigliarolo selittää Microsoftin ainutlaatuisen tavan hälyttää Windows-käyttäjiä kriittisistä käyttöjärjestelmän rikkomuksista.

Uuden tietoturvatutkimuksen mukaan Windows 10 -tietokoneisiin kohdistuu vaara, että hakkerit käyttävät tiedostomuotoa ohittaaksesi käyttöjärjestelmän avainsuojat.

.SettingContent-ms-tiedostotyyppiä voidaan käyttää mielivaltaisen ja mahdollisesti vaarallisen koodin suorittamiseen. Suojausyrityksen Specter Ops tietoturva on löytänyt tutkimuksen.

Mielivaltainen koodi voitaisiin suorittaa kohdekoneella saamalla käyttäjä avaamaan Word-asiakirja, joka sisältää upotetun .SettingContent-ms-tiedoston.

Lisätietoja kyberturvallisuudesta

  • Kyberturvallisuus vuonna 2020: Kahdeksan pelottavaa ennustetta
  • Vuosikymmenen 10 tärkeintä kyberhyökkäystä
  • Kuinka tulla kyberturvallisuusprosessiksi: Huijarilehti
  • Kuuluisa mies Frank Abagnale: Rikos on tänään 4000 kertaa helpompaa

Tämä upotettu tiedosto sisältäisi linkin mielivaltaiseen koodiin, ja Specter Opsin Matt Nelsonin suorittamat testit eivät löytäneet Office: n sisäänrakennettua (Object Linking and Embedding) OLE -suojausta eikä Windows 10: n tarjoamaa Attack Surface Reduction (ASR) -suojausta Windowsin kanssa Puolustaja lopetti koodin suorittamisen.

Nelson sanoo, että Officein OLE-suojaukset eivät estä koodia, koska .SettingContent-ms ei sisälly Officen "vaarallisten" tiedostomuotojen luetteloon.

Sillä välin hän pystyi kiertämään ASR-suojauksia sisällyttämällä linkin AppVLP-ohjelmaan, jota käytetään sovellusten virtualisointiin Windowsissa, sekä linkin mielivaltaiseen suoritettavaan tiedostoon .SettingContent-ms-tiedostossa. Tämä ohitus oli mahdollinen, koska ASR sisällytti AppVLP: n luetteloon, jolloin poikkeus ASR: n tavanomaisesta lohkosta annettiin Office-sovellusten luoda alaprosesseja.

Nelson kertoi havainnoistaan ​​Microsoftille tämän vuoden helmikuussa, mutta 4. kesäkuuta hän sanoi, että Microsoft vastasi sanomalla, että "ongelman vakavuus on alhaisempi kuin huoltopalkki ja tapaus saatetaan päätökseen".

Nelsonilla on kuitenkin omat ehdotuksensa toimenpiteisiin, jotka käyttäjät voivat toteuttaa suojautuakseen tätä menetelmää hyödyntäviltä hyökkäyksiltä.

"Viime kädessä .SettingContent-ms-tiedostoa ei tule suorittaa missään" C: \ Windows \ ImmersiveControlPanel "-polun ulkopuolella. Lisäksi, koska tiedostomuoto sallii vain kuorikomentojen suorittamisen, kaikki, jotka tiedoston läpi suoritetaan, on komento linjarekisteröinti ", hän kirjoittaa.

"On myös hyvä idea seurata lapsiprosessien luomista aina Office-sovelluksista. On joitain sovelluksia, joiden pitäisi olla kuteva Office-sovellusten alla, joten poikkeavien seuranta voi olla hyödyllinen. Yksi työkalu, joka voi tämän suorittaa, on Sysmon."

Mozilla julkaisi myös äskettäisen korjauksen Firefoxille, joka koski haavoittuvuuteen liittyvää hyväksikäyttöä. Korjaus estää WebExtension-selainta, jolla on rajoitettu downloads.open-lupa, suorittamasta mielivaltaista koodia ilman käyttäjän toimia Windows 10 -järjestelmissä.

Microsoft ei ollut vastannut kommenttipyyntöön julkaisuhetkellä.

  • Windows 10: n SettingContent-ms-tiedostomuotoa voidaan käyttää mielivaltaisen koodin suorittamiseen tietokoneissa - Specter Ops, 2018
  • .SettingContent-ms-tiedostoa ei tule suorittaa missään C: \ Windows \ ImmersiveControlPanel -polun ulkopuolella. - Spectre Ops, 2018

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

© Copyright 2020 | mobilegn.com