2023/09/27 16:11:44

Безопасность Windows

Безопасность операционной системы Microsoft Windows

Содержание

2023

Устранение уязвимости в инструменте разработки Microsoft WinDbg

Команда перспективных исследований МТС RED ART (Advanced Research Team) компании МТС RED выявила уязвимость в отладчике программного обеспечения Microsoft WinDbg. Эксперт МТС RED ART Александр Калинин обнаружил брешь в безопасности, которая может быть использована в ходе атак на разработчиков, в том числе, с целью встраивания закладок в создаваемые ими приложения. Компания Microsoft была уведомлена об уязвимости в рамках политики ответственного разглашения и уже устранила проблему. Об этом компания сообщила в сентябре 2023 года.

Microsoft WinDbg – один из самых популярных инструментов отладки приложений, работающих на базе операционной системы Windows. Он позволяет разработчикам собирать и анализировать отчеты с информацией о некорректной работе приложения у пользователей. Вендоры используют эту информацию для выявления и устранения недостатков исходного кода, остававшихся неизвестными ранее. Уязвимость, обнаруженная экспертом МТС RED ART, состояла в том, что в отчет о неполадках, автоматически отправляемый разработчикам, можно было встроить вредоносный код или ссылку, поскольку отладчик не проверял безопасность содержимого таких файлов.

«
Опасность атаки непосредственно на разработчиков состоит в том, что они, как правило, имеют права локального администратора на рабочей машине и доступ к исходному коду продуктов. Результатом такой атаки может стать утечка конфиденциальной информации и даже встраивание закладок в программные решения компании, чтобы получить доступ в инфраструктуру ее заказчиков, – рассказал Александр Калинин, ведущий системный архитектор центра безопасности сред исполнения, эксперт группы МТС RED ART компании МТС RED.
»

Уязвимость позволяет атакующему удаленно запускать произвольный вредоносный код на рабочей станции с установленным Microsoft WinDbg и доступом по SMB-протоколу к серверу атакующего. Вследствие небезопасности процесса обработки dmp-отчетов о неполадках, злоумышленник может запускать исполнение произвольного кода на уязвимом хосте и реализовать атаку с подменой библиотек, тем самым внедрив вредоносные возможности в легитимное ПО.Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.6 т

Для защиты от данных рисков эксперты МТС RED ART рекомендуют разработчикам использовать исключительно версии Microsoft WinDbg в составе Windows SDK 11 и выше, в которых данная уязвимость устранена вендором.

Заражение Windows-компьютеров модульной троянской программой-загрузчика Trojan.Fruity.1

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее действенность используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту. Об этом 27 июля 2023 года сообщили в «Доктор Веб».

Начиная с 2022 года компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов специалисты «Доктор Веб» вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них — инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Ниже представлен список файлов, связанных с трояном:

  • python39.dll — копия библиотеки из пакета Python с внедренным в нее вредоносным кодом;
  • python.exe — оригинальный интерпретатор языка Python для запуска модифицированной библиотеки;
  • idea.cfg — конфигурация с данными о расположении полезной нагрузки;
  • idea.mp3 — зашифрованные модули трояна;
  • fruit.png — зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы. На следующем изображении представлена общая схема алгоритма работы Trojan.Fruity.1:

1 этап заражения

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

2 этап заражения

Расшифрованный шелл-код (код №1) запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии (код №2), а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

3 этап заражения

Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код №2 для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии (код №3).

4 этап заражения

После выполнения предыдущих шагов Trojan.Fruity.1 запускает код №3. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности. Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии (код №4).

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelgänging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

5 этап заражения

При помощи внедренных в библиотеку шелл-кода (код №4) и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

По данным на июль 2023 года Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак. Специалисты «Доктор Веб» напоминают, что скачивать программное обеспечение необходимо только из заслуживающих доверия источников — с официальных сайтов разработчиков и из специализированных каталогов. Кроме того, для защиты компьютеров необходимо установить антивирус. Продукты Dr.Web детектируют и удаляют троянскую программу Trojan.Fruity.1 и ее вредоносные компоненты, поэтому те не представляют опасности для пользователей.

Microsoft представила Win32 app isolation - новый стандарт безопасности для приложений Windows

Microsoft анонсировала публичный превью еще одной функции безопасности Windows - Win32 app isolation. Эта функция позволяет изолировать приложения Win32 от ненужных ресурсов и других приложений, создавая барьер для злоумышленников. Об этом стало известно 19 июня 2023 года.

Win32 app isolation основана на технологии AppContainers, которая создает границу безопасности для процессов, и компонентах, которые виртуализируют ресурсы и обеспечивают посреднический доступ к другим ресурсам. Для изоляции своих приложений разработчикам необходимо упаковать их с помощью инструментов, предоставляемых Microsoft, и использовать Application Capability Profiler для предоставления приложениям доступа к дополнительным ресурсам.

Целью Win32 app isolation является ограничение ущерба и защита выбора пользователей в области конфиденциальности в случае компрометации приложения. Когда приложение Win32 работает с тем же привилегией, что и пользователь, оно может получить доступ к информации пользователя без его согласия. В результате существует риск несанкционированного доступа к личным данным пользователя злоумышленниками без его ведома или согласия.

Win32 app isolation является дополнением к существующим опциям песочницы Windows, таким как Windows Sandbox и Microsoft Defender Application Guard. В отличие от этих опций, которые основаны на виртуализации на основе безопасности, Win32 app isolation построена на основе AppContainers и других функций.

Win32 app isolation поддерживается на Windows 11 и будет доступна для Windows 10 в будущем[1].

С помощью трояна в пиратских сборках Windows злоумышленники похитили криптовалюту на $19 тыс.

Специалисты «Доктор Веб» выявили троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Как 14 июня 2023 года TAdviser сообщили представители «Доктор Веб», вредоносное приложение, получившее имя Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. С помощью данного трояна злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка $19 тыс. Подробнее здесь.

UserGate детектирует уязвимость в реализации ICMP для ОС Windows

Центр Мониторинга и реагирования UserGate 29 марта 2023 года сообщил о том, что добавил в Систему обнаружения вторжений UserGate (IDPS) в версии NGFW 7.0 сигнатуру, позволяющую детектировать эксплуатацию уязвимости в реализации Internet Control Message Protocol (ICMP) от Microsoft в ОС Windows. Подробнее здесь.

2022

Ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows

Ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows. Об этом стало известно 17 октября 2022 года.

Недостаток обновлений Windows позволяет хакеру скомпрометировать компьютер с помощью драйвера.

В течение почти 2-х лет специалисты Microsoft нарушали ключевую защиту Windows, что сделало миллионы клиентов уязвимыми для заражения вредоносным ПО, который был особенно эффективен в последние месяцы.

Microsoft заявляет, что Центр обновления Windows автоматически добавляет новые программные драйверы в черный список для предотвращения известного метода заражения вредоносным ПО под названием BYOVD (Bring Your Own Vulnerable Driver).

Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.

Оказалось, что Windows неправильно загружала и применяла обновления к черному списку драйверов, что делало пользователей уязвимыми для очередных BYOVD-атак.

Более того, даже легитимные драйверы иногда содержат уязвимости, которые приводят к повреждению памяти или позволяют хакерам внедрить свой вредоносный код непосредственно в ядро. Даже после исправления недостатков старые драйверы с ошибками останутся доступны для BYOVD-атак, поскольку они уже подписаны.

Microsoft знает об угрозе BYOVD и работает над защитой. Чтобы остановить эти атаки, компания создает блокирующие механизмы, не позволяющие Windows загружать подписанные и уязвимые драйверы[2].

Устранение 52 уязвимостей повышения привилегий

Microsoft устранила 52 уязвимости повышения привилегий исправлений. Об этом стало известно 13 июля 2022 года.

Компания исправила 1 часто используемую уязвимость нулевого дня и 84 других ошибок. 4 из 84 уязвимостей классифицируются как «критические», поскольку они допускают удаленное выполнение кода. Количество ошибок в каждой категории уязвимостей указано ниже:

  • 52 уязвимости повышения привилегий;
  • 4 уязвимости обхода функций безопасности;
  • 12 RCE-уязвимостей;
  • 11 уязвимостей раскрытия информации;
  • 5 уязвимостей отказа в обслуживании (DoS).

Вторник исправлений июля месяца исправил активно используемую 0-day уязвимость повышения привилегий. Эта уязвимость была обнаружена внутри Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

«
CVE-2022-22047 — уязвимость Windows CSRSS, связанная с повышением привилегий. С помощью этого недостатка киберпреступник может получить системные привилегии, — заявила Microsoft[3].
»

Вымогательское ПО Magniber угрожает миллионам пользователей Windows 11

30 мая 2022 года стало известно, что аналитики 360 Security Center обнаружили очередную версию вымогательского ПО Magniber, нацеленную на системы под управлением Windows 11. По словам специалистов, 25 мая объем атак с использованием Magniber значительно возрос.

Иллюстрация: itkvariat.com

Вымогательское ПО распространяется через несколько онлайн-платформ, сайты с пиратским ПО, поддельные порнографические сайты и т.д. Когда пользователь заходит на фальшивый сайт, злоумышленники пытаются заставить жертву скачать вредоносный файл со своих сетевых дисков.

По словам исследователей, программа-вымогатель практически не изменилась, но теперь может поражать несколько версий ОС Windows. Для шифрования файлов жертв программа использует алгоритмы шифрования RSA и AES. Алгоритм RSA имеет длину 2048 бит, из-за чего Magniber тяжело взломать. После шифрования суффикс файла становится случайным, а для каждой жертвы открывается отдельная страница оплаты. Стоимость выкупа - 0,09 биткоина в первые пять дней. Если выкуп не будет оплачен в указанный срок, то страница оплаты станет недействительной, а стоимость выкупа удвоится.

По мнению исследователей безопасности, для этой программы-вымогателя не существует безопасного дешифровщика. Кроме того, специалисты пока не знают о слабых местах вредоноса, способных обратить заражение вспять.

Magniber нацелено на обычных пользователей, а не на компании, поэтому специалисты рекомендуют пользователям сохранять бдительность, не загружать пиратское ПО и использовать только официальные сайты.

Это уже второй случай за два месяца, когда Magniber атакует пользователей Windows. В апреле злоумышленники использовали поддельные обновления Windows 10 для распространения вредоноса.[4]

Обнаружены случаи хранения вредоносного кода в журналах событий Windows

5 мая 2022 года компания «Лаборатория Касперского» сообщила, что ее эксперты обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

Иллюстрация: norebbo.com

Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

«
«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», -

комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».
»

Для защиты от бесфайлового ПО и схожих угроз компания рекомендует:

  • установить эффективное защитное решение, такое как Kaspersky Endpoint Security Cloud; в нём есть компонент, который позволяет детектировать аномалии в поведении файлов и выявлять бесфайловое вредоносное ПО;
  • использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов. Эти возможности доступны в рамках пакета Kaspersky Expert Security ;
  • применять решения для защиты конечных устройств и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак. Сервис Kaspersky Managed Detection and Response позволяет распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей.

Мошенники распространяют инфостилер под видом обновления Windows 11

19 апреля стало известно, что киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки. Подробнее здесь.

Windows Defender Application Control блокирует уязвимые драйверы

29 марта 2022 года стало известно, что компания Microsoft предоставила пользователям Windows возможность блокировать драйверы с уязвимостями с помощью Windows Defender Application Control (WDAC) и «черного списка» уязвимых драйверов.

Иллюстрация: securitylab.ru

Представленная опция является частью набора функций безопасности Core Isolation для устройств, использующих безопасность на основе виртуализации. Функция работает на устройствах под управлением Windows 10, Windows 11, Windows Server 2016 и более поздних версий с включенной функцией Hypervisor-Protected Code Integrity (HVCI), а также на системах под управлением Windows 10 в S-режиме.

Программный уровень безопасности WDAC, который блокирует уязвимые драйверы, защищает системы Windows от потенциально вредоносного программного обеспечения, гарантируя запуск только защищенных драйверов и приложений.

«Черный список» уязвимых драйверов, используемый представленной защитной опцией Windows, обновляется с помощью независимых поставщиков оборудования (IHV) и производителей оригинального оборудования (OEM).

WDAC защищает Windows-системы от драйверов, разработанных сторонними производителями, с любым из следующих атрибутов:

  • Известные уязвимости в системе безопасности, которые злоумышленники могут использовать для повышения привилегий в ядре Windows.
  • Вредоносное поведение (вредоносное ПО) или сертификаты, используемые для подписи вредоносного ПО.
  • Действия, которые не являются вредоносными, но обходят модель безопасности Windows и могут быть использованы злоумышленниками для повышения привилегий в ядре Windows.

Параметр «Черный список уязвимых драйверов Microsoft» можно включить в разделе «Безопасность Windows» > «Безопасность устройства» > «Изоляция ядра». После включения он блокирует определенные драйверы на основе их хэша SHA256, атрибутов файла, таких как имя файла и номер версии, или сертификата подписи кода, используемого для подписи драйвера.[5]

2021

ИТ-структура ФСБ сообщила об опасной уязвимости Windows

13 сентября 2021 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) РФ, созданный по указу ФСБ, сообщил о существовании серьезной уязвимости в операционных системах Windows.

Речь идет о так называемой уязвимости «нулевого дня» (0-day). Она связана с некорректной проверкой входных данных в компоненте MSHTML. Брешь в ПО позволяет злоумышленнику удаленно выполнить произвольный код в целевой системе посредством открытия пользователем специально сформированного документа Microsoft Office.

Как сообщает «Интерфакс» со ссылкой на заявление НКЦКИ, программный недостаток актуален для Microsoft Windows версий 7, 8.1, 10 и Microsoft Windows Server версий 2008, 2012, 2016, 2019, 2022.

ИТ-структура ФСБ сообщила о существовании опасной уязвимости Windows

Отмечается, что с учетом отсутствия официальных исправлений от компании Microsoft создаются предпосылки для массового заражения компьютеров пользователей различными вредоносными программами. Имеются факты о доставке таким образом вредоносного приложения Cobalt Strike, которое в 2016 году использовалось в серии атак на российские банки, сообщили в НКЦКИ.

В ИТ-структуре ФСБ рекомендует временно отключить возможность установки компонентов ActiveX в операционной системе и предварительный просмотр документов в Windows Explorer, обновить антивирусные средства, при получении электронных писем с файлами проверять их антивирусом, а также проверить в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20210910.csv".

Как пишет издание BleepingComputer, киберпреступники поделились о уязвимостью Windows на одном из хакерских форумов. Вся информация представлена в таком виде, что любому желающему не составит большого труда задействовать эксплойт в собственных атаках. Специалисты из BleepingComputer, например, продемонстрировали это за 15 минут.[6][7]

Windows 10 начнет по умолчанию блокировать потенциально нежелательное ПО

Windows 10 начнет по умолчанию блокировать потенциально нежелательное ПО. Об этом стало известно 4 августа 2021 года.

Защита будет доступна только для пользователей Windows 10, использующих Защитник Windows, а не стороннее защитное решение.

По словам специалистов Microsoft, потенциально нежелательные приложения «могут стать причиной медленной работы устройства, показывать нежелательную рекламу или, в худшем случае, устанавливать другое программное обеспечение, которое может быть более опасным или раздражающим». Подобные программы не являются вредоносными, но обычно данное ПО не является необходимым.

Компания представила поддержку блокировки PUA в Windows 10 в 2018 году, но пользователям приходилось включать данную функцию с помощью PowerShell. Возможность включить или настроить защиту в разделе «Безопасность Windows» была представлена ​​в майском обновлении безопасности для Windows 10 в 2020 году.

Защита от потенциально нежелательных приложений включена по умолчанию с августа 2021 года, но только для пользователей Windows 10, которые используют Защитник Windows, а не стороннее решение безопасности[8].

Уязвимость, повреждающая жесткий диск после просмотра файла

Уязвимость в Windows 10 повреждает жесткий диск после просмотра файла. Об этом стало известно 14 января 2021 года.

Уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии.

Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы.

Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.

Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.

Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.

После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.

После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.

Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на "C: \: $ i30: $ bitmap" проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе[9].

2020

Рост числа уязвимостей в ПО Microsoft на 48%, до 1268

В середине июня 2021 года ИБ-компания BeyondTrust выпустила отчет об уязвимостях ПО Microsoft, согласно которому общее количество брешей в продуктах Microsoft достигло рекордного уровня (1268) в 2020 году, что на 48% больше, чем в предыдущем году. Эксперты считают, что 132 проблемы Windows 10 были критическими, и 56% из них можно было бы предотвратить, удалив права администратора.

В отчете BeyondTrust говорится, что неустановленные уязвимости Microsoft становятся причиной едва ли не каждой третьей атаки хакеров во всем мире, ведь около 1,5 миллиарда человек используют операционные системы Windows каждый день. Microsoft отказалась от комментариев.

В 2020 году число уязвимостей в ПО Microsoft выросло до рекордных 1268

Наибольшее количество критических проблем эксперты выявили в Windows Server: на них приходится 138 из 902 уязвимостей, причем остальные проблемы касаются в основном ПО Windows 7, Windows RT, Windows 8 / 8.1 и Windows 10. Проблемы также были обнаружены в других продуктах Microsoft, включая Microsoft Edge и Internet Explorer 8, 9, 10 и 11. В совокупности все браузеры имели 92 уязвимости в 2020 году, и 61 из них (66%) были признаны критическими.

В отчете BeyondTrust отмечено, что в 2020 году в браузерах Internet Explorer 8, 9, 10 и 11 было выявлено 27 критических уязвимостей.

«
Удаление прав администратора могло смягчить последствия 24 из этих проблем, устранив 89% риска, - говорится в отчете.
»

Эксперты также отмечают, что количество критических уязвимостей в Microsoft Edge в 2020 году уменьшилось с 86 до 34. Однако и в этом случае удаление прав администратора могло бы уменьшить опасность в отношении 29 и 34 проблем (85%).

В Microsoft Office было выявлено 79 уязвимостей, касавшихся программ Excel, Word, PowerPoint, Visio, Publisher и других продуктов Office. Только пять из них были признаны критическими, но удаление прав администратора смягчило бы последствия взлома в четырех случаях из пяти.[10]

Критическая уязвимость DNS-сервисов 17 лет угрожала пользователям Windows Server

Компания Check Point Software Technologies Ltd., поставщик решений в области кибербезопасности, 15 июля 2020 года сообщила о выявлении уязвимости в DNS-серверах Windows. Благодаря данной уязвимости хакеры могут создавать вредоносные DNS-запросы к DNS-серверу Windows и осуществлять выполнение произвольного кода, что, в свою очередь, приводит к нарушению всей ИТ-инфраструктуры. Критическая уязвимость, получившая название Signed, затрагивает версии Windows с 2003 по 2019 год.

DNS — это часть глобальной инфраструктуры сети интернет. Данная система переводит привычные пользователям имена веб-сайтов в строки номеров, необходимые устройствам для поиска сайта или отправки электронного письма. Воспользовавшись уязвимостью DNS-сервера, хакер получает права администратора домена и может манипулировать электронной почтой пользователей, сетевым трафиком, ограничивать доступ к службам, собирать учетные данные пользователей и прочее.

Специалисты Сheck Point Research сообщили Microsoft о найденной уязвимости 19 мая 2020 года. Компания признала недостаток безопасности и оперативно разработала патч (CVE-2020-1350). Также Microsoft присвоила уязвимости максимальный уровень риска (CVSS:10.0). Опасность уязвимости Signed заключается в том, что один эксплойт может запустить цепную реакцию. В результате одно скомпрометированное устройство может стать распространителем вредоносного ПО по всей сети организации в течение нескольких минут после первого эксплойта.

Исправления Microsoft для данной уязвимости доступны с 14 июля 2020 года. Check Point рекомендуют пользователям Windows оперативно исправить уязвимость DNS-серверов. Специалисты Check Point считают, что вероятность использования уязвимости Signed высока, поскольку хакерам не составит большого труда найти необходимые способы. 99% компаний по всему миру находятся в опасности, поскольку все так или иначе используют сервисы Microsoft Active Directory, включая необходимые DNS-серверы, подчеркнули в Check Point. В случае, если хакерам удастся осуществить атаку прежде, чем организации установят патчи, то масштаб ущерба может сравниться с эпидемией WannaCry 2017 года. Тогда от деятельности киберпреступников пострадали 300 тыс. компьютеров в 150 странах, а общий ущерб превысил 1 млрд долларов США.

«
«Нарушение работы DNS-сервера — это очень серьезная проблема. Использование уязвимости сервера позволяет хакерам получить доступ ко всем конфиденциальным данным компании. Уязвимостей подобного типа не много, однако их наличие подвергает любую компанию, использующую ОС Windows Server, серьезному риску компрометации всей корпоративной сети. Уязвимость Signed существует в коде Microsoft уже более 17 лет. Если мы ее нашли, то можно предположить, что кто-то другой также знает о ее существовании», — отметил Омри Херсковичи (Omri Herscovici), руководитель исследовательской группы Check Point.
»

Меры безопасности:

  • 1. Необходимо использовать патч Microsoft для исправления уязвимости Signed.
  • 2. Необходимо использовать стороннего поставщика для обеспечения безопасности корпоративной ИТ-инфраструктуры.
  • 3. Другие способы для блокировки атаки: в поле `CMD` необходимо ввести:
    • reg add
    • "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Уязвимость BlueKeep, позволяющая получить полный контроль над компьютером

27 марта 2020 года компания Positive Technologies сообщила о том, что в ходе мониторинга актуальных угроз (threat intelligence) эксперты компании выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2. Подробнее здесь.

Компьютеры Apple заражают вирусами в 2 раза чаще Windows-систем. Итоги года

В середине февраля 2020 года компания Malwarebytes, развивающая решения для защиты и восстановления программного обеспечения, представила ежегодный отчет по вредоносному софту. Подробнее здесь.

2019

Windows 10 заняла третье место по количеству уязвимостей

В ходе анализа статистики уязвимостей в различных операционных системах и программных продуктах по итогам 2019 года выяснилось, что на третьем месте оказалась Windows 10 (357 уязвимостей). Подробнее здесь.

Шифровальщик PureLocker атакует корпоративные серверы под управлением Windows и Linux

18 ноября 2019 года стало известно, что эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux. Подробнее здесь.

Протокол CTF позволяет захватить любой ПК

14 августа 2019 года стало известно, что малоизвестный протокол CTF, используемый во всех версиях операционной системы Microsoft Windows начиная с XP, небезопасен и может быть использован злоумышленником для проведения целевой атаки. Об этом сообщил ресурс ZDNet со ссылкой на исследователя в сфере безопасности из команды Google Project Zero Тэвиса Орманди (Tavis Ormandy), обнаружившего проблему.

По словам эксперта, уязвимый протокол позволяет хакерам захватить любое приложение, в том числе запущенное с полномочиями администратора или даже всю ОС целиком.

Как именно расшифровывается аббревиатура CTF неизвестно – Орманди не удалось отыскать информацию об этом в документации Microsoft. Однако известно, что CTF является частью Windows Text Services Framework (TSF) – системы, которая отвечает за вывод текста в Windows и приложениях для нее.

Когда пользователь запускает приложение, Windows также стартует CTF-клиент для этого приложения. CTF-клиент в дальнейшем получает сведения о системном языке ОС и методе ввода с клавиатуры. CTF-сервер ведет непрерывный мониторинг данных параметров, и в случае их изменения, отдает команду CTF-клиенту, чтобы тот в режиме реального времени «подстроился» под них.

Орманди выяснил, что процесс взаимодействие между CTF-клиентом и его сервером никак не защищен, то есть любое приложение, пользователь или даже изолированный процесс может элементарно подключиться к сессии CTF.

«
Хотя CTF-сервер и требует от своего клиента идентификаторы потока, процесса и окна (HWND), однако из-за отсутствия какого-либо механизма аутентификации ничто не мешает передать поддельные данные, – отмечает эксперт.

»

Таким образом, установив контроль над CTF-сессией приложения, злоумышленник может отправлять команды в адрес этих приложений, маскируясь под CTF-сервер. С помощью данной техники хакеры получают возможность красть данные из запущенных программ, либо управлять ими. Если же программа запущена с повышенными привилегиями, ничто не помешает атакующему захватить полный контроль над компьютером жертвы.

По словам Орманди, захвачено может быть любое приложение или процесс Windows, отображающие текст в пользовательском интерфейсе. В подтверждение своих слов эксперт записал видео, в котором успешно захватил CTF-сессию экрана входа в систему Windows 10.

ZDNet сообщает, что Microsoft выпустила исправление (CVE-2019-1162), которое решает описанную Орманди проблему в части повышения привилегий. Однако, как отмечают журналисты издания, сам протокол CTF нуждается в модернизации, поскольку уязвим в силу своей архитектуры.

Орманди выложил на GitHub инструмент, который позволит исследователям самостоятельно протестировать протокол на наличие других проблемы безопасности, а также опубликовал в блоге Google Project Zero более детальное описание проблемы[11].

Microsoft: 40% атак нулевого дня на Windows успешны

Почти 40% хакерских атак, использующих уязвимости нулевого дня в наиболее актуальных версиях Windows, оказывались успешными по сравнению с менее новыми ОС. Об этом 24 июля 2019 года сообщил специалист Microsoft Security Response Center Мэтт Миллер (Matt Miller), приводя статистику, собранную с 2015 года.

По его данным, в двух из трех случаев уязвимости нулевого дня не работали против новейших версий Windows из-за мер защиты, которые Microsoft добавляет в новые операционные системы.

Подавляющее большинство 0-day уязвимостей в Windows, используемых в живых атаках, работают только против старых версий ОС

Как отмечает ZDNet, Мэтт Миллер хочет сказать, что подавляющее большинство уязвимостей нулевого дня, которые эксплуатируют злоумышленники в реальных атаках, работают только против старых версий Windows. Если регулярно обновлять ОС, она будет защищена от некоторых таких атак, передаёт издание.

Выступая на февральской конференции в области информационной безопасности BlueHat IL 2019 Мэтт Миллер говорил, что уязвимости в Windows эксплуатируются до того, как патч выпущен или когда обновление становится неактуальным спустя месяцы после выхода.

В Microsoft утверждают, что благодаря присутствию в Windows 10 набору технологий защиты, таких как Control Flow Guard и Device Guard, пользователи операционной системы при регулярном обновлении могут в определённой мере чувствовать себя в безопасности.

В конце июля 2019 года Мэтт Миллер также привёл данные, согласно которым 70% всех проблем с безопасностью, устраненных Microsoft за последние 12 лет, были связаны с управлением памятью.

В Microsoft Security Response Center работают над снижением числа таких ошибок, поэтому рассматривают язык программирования Rust в качестве альтернативы C и C++.

Доклад на тему безопасности Windows Мэтт Миллер собирается представить на конференции Usenix WOOT 19 в августе.[12]

Запрет в немецких школах по соображениям безопасности

В середине июля 2019 года стало известно о запрете Microsoft 365 (ранее Office 365) и Windows 10 в немецких школах. Власти опасаются, что персональные данные учеников и учителей могут быть доступны правительству США. Подробнее здесь.

Критическая уязвимость в Windows может вызвать эпидемию масштаба WannaCry и Petya

15 мая 2019 года компания Ростелеком-Solar сообщила о критичной уязвимости, которая грозит очередной волной массовых вирусных заражений. Уязвимости CVE-2019-0708 подвержены операционные системы семейства Windows. Она позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой рабочей станции или сервере.

Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя протокол RDP. Таким образом, в случае если системная служба опубликована на периметре, уязвимость можно проэксплуатировать непосредственно из сети интернет, без использования специализированного вредоносного ПО.

«
В случае, если будет создано вредоносное ПО, использующее эту уязвимость, оно сможет распространяться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, который в 2017 году нанес ущерб организациям по всему миру. На май 2019 года уязвимость актуальна для прямой атаки из Интернета, как это было в случае WannaCry, для нескольких десятков организаций в России и более 2 млн организаций в мире. Риски реализации более сложной атаки актуальны для практически всех компаний, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью EternalBlue.
Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar
»

Если на внешнем периметре организации есть ранее опубликованный сервис RDP для уязвимой операционной системы – рекомендуем немедленно закрыть этот доступ. Вне зависимости от его наличия необходимо оперативно установить патчи, выпущенные Microsoft, а до того – по возможности ограничить использование протокола внутри организации. Необходимо отнестись к этой ситуации со всей серьезностью, поскольку уязвимости может быть подвержена организация любой отрасли.

В Windows 10 закрыты две опасные уязвимости, открывающие доступ к компьютеру жертвы

22 марта 2019 года компания Positive Technologies сообщила, что ее эксперт Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10.

«
Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами. В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы.
Михаил Цветков, эксперт Positive Technologies
»

Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью. Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии.

Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей.

Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов (CVE-2019-0726) или сообщить в DHCP-ответе аномально большое количество опций (CVE-2019-0697).

2018

Windows 10 отправляла данные о действиях пользователей в Microsoft

После выхода Windows 10 на Microsoft обрушился шквал негодования, вызванный тем фактом, что ОС «шпионила» за пользователями. Об этом стало известно 13 декабря 2018 года. Хотя компания в итоге внесла изменения (в виде бесчисленного множества опций, которые еще нужно запомнить), дополнительные переключатели на деле мало чем помогают.

В обновленных версиях Windows 10 есть функция «Журнал действий» («Activity History»), позволяющая возвращаться к действиям на устройствах и просматривать историю этих действий на временной шкале при условии, что функция включена («Журнал действий активирован по умолчанию, но его можно отключить).

Временная шкала работает, если включены параметры:

  • «Сохранить мой журнал активности на этом устройстве» на странице «Параметры журнала действий»;
  • «Отправить мой журнал активности в Майкрософт»;
  • «Показывать действия в определенных учетных записях».

Понятно, что первый параметр позволяет отслеживать действия пользователя, а второй отправляет эти данные Microsoft. Тем не менее, даже если отключить все три опции, соответствующие данные все равно будут отображаться на странице account.microsoft.com. Даже если отключить «Журнал действий» через редактор групповой политики, информация по-прежнему будет собираться и отображаться. Можно отключить загрузку и публикацию действий пользователей, но и это не поможет[13].

В Windows нашли файл, собирающий пароли и сообщения e-mail

В сентябре 2018 года стало известно о существовании в Windows секретного файла, в котором хранятся пароли и переписки по электронной почте. Проблема актуально для пользователей устройств с сенсорными дисплеями.

Как пишет издание ZDNet со ссылкой на эксперта по кибербезопасности из Digital Forensics and Incident Response (DFIR) Барнаби Скеггса (Barnaby Skeggs), файл под названием WaitList.dat используется в Windows для улучшения распознавания рукописного ввода текста, когда пользователь рисует на тачскрине пальцем или стилусом. При текстовом наборе таким способом функция предлагает замену в случае появления ошибки, а также слова, которые владелец компьютера употребляет чаще всего.

Стало известно о существовании в Windows секретного файла, в котором хранятся пароли и переписки по электронной почте

По данным Скеггса, как только пользователь начинает писать что-то на экране, текст из каждого документа и электронной почты, который индексируется службой Windows Search Indexer, сохраняется в файле WaitList.dat. Данные из всех текстовых файлов, найденных на компьютере, таких как письма e-mail или документы Office (не только метаданные, но и содержимое), стекаются в WaitList.dat, причем даже безе открытия этих документов и переписок или даже если они были удалены, предупреждает эксперт.

Сам файл находится по следующему адресу:

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Барнаби Скеггс считает, что такой файл является настоящим подарком для хакеров, которым удалось проникнуть в компьютер. Им не нужно искать пароли в браузерах или еще где-то — достаточно скопировать себе WaitList.dat. Найти пароли в этом файле можно при помощи несложных команд PowerShell.

Пользователям, хранящим пароли в текстовых документах или электронных сообщениях, эксперт порекомендовал удалить файл WaitList.dat.[14]

Microsoft позволит пользователям Windows 10 просматривать телеметрию

Наряду с релизом крупного обновления ОС Windows 10, запланированного к выходу в апреле-мае 2018 года, компания Microsoft выпустит[15] приложение Windows Diagnostic Data Viewer, которое позволит пользователям просматривать, какие именно данные телеметрии отправляются с их устройств на серверы производителя. Приложение уже доступно участникам программы Windows Insider.

По словам представителя Microsoft Марисы Роджерс (Marisa Rogers), инструмент позволит пользователям искать, просматривать и фильтровать собранные с устройств данные диагностики (сведения об имени, версии и сборке ОС, идентификаторе пользователя, уровне диагностики, настройках, различные данные об устройстве и браузере, установленных и используемых приложениях, паролях, обновлениях, потреблении контента (фильмы, фото и т.д.), лицензиях и дате их приобретения и пр.).

С помощью приложения пользователи смогут только просматривать данные, но не удалять их. Таким образом владельцы компьютеров и системные администраторы смогут получить представление о том, какие данные собираются, и принять меры по предотвращению сбора некоторой информации из соображений конфиденциальности или соответствия установленным требованиям.

2017

Рекомендуемые стандарты безопасности для устройств под Windows 10

В начале ноября 2017 года Microsoft опубликовала список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих защиту устройства.[16]

Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.

  • В Microsoft рекомендуют использовать процессоры Intel и AMD 7-го поколения, которые включают режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра.
  • Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).
  • Устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования возможностей виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT) процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).
  • Рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module — аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.
  • Функция верификации загрузчика платформы не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.
  • Оптимальный объем оперативной памяти — не менее 8 ГБ.

В то же время, Microsoft выдвигает следующие требования к программному обеспечению устройства:

  • Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.
  • Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.
  • Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).
  • Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.
  • В прошивке системы должен быть реализован инструмент Secure MOR revision 2.
  • Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Обвинение Голландии в нарушении конфиденциальности данных граждан

В октябре 2017 года Голландский департамент охраны персональных данных (Dutch Data Protection Authority, DPA) обвинил Microsoft в нарушении местных законов о конфиденциальности информации, принадлежащей людям, которые пользуются компьютерами на операционной системе Windows 10.

Регулятор пришел к выводу, что Microsoft не информирует пользователей о том, что компания постоянно собирает данные об используемых приложениях и посещениях интернет-страниц в браузере Edge, когда тот запускается с настройками по умолчанию.

Власти Голландии обвинили Microsoft в нарушении закона о защите данных в Windows 10

Критика DPA также связана с тем, что Microsoft не сообщает клиентам о типе собираемых данных и целях этих действий. Кроме того, практика американской компании не предполагает того, чтобы люди могли давать реальное согласие на обработку своих персональных данных.

«
Оказывается, что операционная система Microsoft следит за каждым шагом, который вы делаете на своем компьютере. Это приводит к навязчивому вторжению в вашу учетную запись, — говорит вице-председатель DPA Вилберт Томесен (Wilbert Tomesen). — Что это значит? Знают ли люди об этом, хотят ли они этого? Microsoft должна предоставить пользователям справедливую возможность самим решить это.
»

Если компания не устранит все эти нарушения, на нее могут быть наложены санкции, в том числе штраф, добавляют в DPA.

Microsoft не раз критиковали за свое отношение к вопросам конфиденциальности. В обновлении Creators Update для Windows 10 появилась новая структура настроек приватности, однако в DPA утверждают, что этот апдейт не устраняет нарушения, выявленные в ходе расследования.

По данным Голландского департамента охраны персональных данных, к октябрю 2017 года в Нидерландах насчитывается более 4 млн активных устройств на базе Windows 10 Home и Pro.[17]

Какие данные собирает Windows 10: официальный список

7 апреля 2017 год компания Microsoft опубликовала официальный перечень пользовательских данных, собираемых ОС Windows 10.

Вместе с этим заявлением корпорация внесла изменения в настройки приватности Windows 10. Теперь каждый пользователь вправе выбрать из двух пакетов информации, который будет собирать о нем его система – базовый или расширенный. Эти изменения входят в состав апдейта ОС Creators Update, запланированного на 11 апреля 2017 года[18].

Реклама Creators Update, (2017)

Собираемая информация:

  • все установленные на ПК приложения, включая удаленные,
  • слежение за работой сети подключения,
  • учет подключаемых периферийных устройств:
    • клавиатуры,
    • мыши,
    • принтеры,
    • накопители
    • и т.п.

  • сбои системы,
  • обновления,
  • дата приобретения лицензии,
  • производительность компьютера,
  • браузеры

    • история посещений,
    • поисковые запросы.

Для анализа в США система отсылает данные о выбранном языке интерфейса, названии и версии.

Это относится к действующей на 7 апреля 2017 года версии системы. После установки Creators Update каждый пользователь сможет выбрать базовый пакет отсылаемых данных, количество которых в нем сокращено вдвое. В этот набор входят данные о качестве работы ОС, информация о компонентах компьютера и сведения о совместимости приложений. Полный пакет не отличается от действующего.

Microsoft не сообщила - что потребует от пользователя в обмен на активацию базового пакета телеметрии, поскольку, если он будет полностью бесплатным, никто не станет выбирать полный пакет. Ожидать опцию полного отключения слежения не стоит.

2016: Windows Subsystem for Linux способна спрятать вирусы

13 сентября 2017 года стало известно о наличии в подсистеме Windows Subsystem for Linux потенциала для сокрытия вредоносного ПО.

В марте 2016 года Microsoft объявила о поддержке командного интерпретатора bash в Windows 10. Для этого компания вместе с Canonical создала подсистему Linux - Windows Subsystem for Linux, WSL. Она поддерживает запуск Linux-приложений без использования контейнеров виртуализации, отдельной пересборки утилит и без использования ядра Linux — нативные исполняемые файлы ОС запускаются посредством специальной прослойки, "на лету" транслирующей системные вызовы Linux в системные вызовы Windows[19].

WSL создавался как проект, независимый от конкретных дистрибутивов Linux. Однако, в первой версии уже оптимизирован для работы с Ubuntu. В Windows 10 появилась поддержка openSUSE Leap, и после обкатки WSL в пользовательской версии Windows Microsoft решила добавить ее в серверную редакцию операционной системы. По прошествии нескольких месяцев с момента появления WSL в «десятке», прозвучали мнения аналитиков - подсистема может послужить препятствием для обнаружения вирусов.

По мнению экспертов Check Point, с помощью WSL на ПК можно запускать ряд известных вредоносов, делая их незаметными для наиболее распространенных инструментов защиты от вирусов. Проблема не в WSL, отметили эксперты, а в беспечности разработчиков антивирусного ПО и систем безопасности.

Метод, разработанный специалистами, позволяет незаметно запускать любое вредоносное ПО в Windows 10. Злоумышленники имеют перспективы до поры, пока не будет создан эффективный механизм защиты ПК с Windows 10 и WSL. Этот метод получил название bashware, поскольку он использует командную оболочку bash, через которую запускаются Linux-приложения.

По мнению инженеров Check Point, создатели антивирусного ПО не обратили особого внимания на WSL потому, что полагали, будто эту подсистему нужно активировать вручную. Поскольку возможность запускать приложения Linux в Windows нужна в основном разработчикам, ее включает сравнительно небольшое количество пользователей. Как сообщила Microsoft, для этого нужно активировать режим разработчика, установить компонент, перезагрузить устройство и развернуть WSL.

Bashware автоматизирует эти шаги и запускает функцию автоматически. Для активации режима разработчика достаточно изменить несколько разделов в реестре. Это может выполняться фоном, незаметно для пользователя. Что касается перезагрузки, то хакер может либо подождать, пока жертва выключит компьютер, либо инициировать критическую ошибку, которая повлечет за собой перезапуск ОС. После этого bashware загружает необходимое окружение, созданное на платформе Ubuntu, и запускает в ней вредоносное ПО. Драйверы WSL можно загрузить на компьютер вручную и без перезагрузки.

Windows расценивает запуск Linux-приложения как пико-процесс - тип процесса, структурно отличный от тех, что происходят при запуске нативных программ. Исследователи выяснили - ни один антивирус не отслеживает эти процессы, несмотря на то, что Microsoft предоставила разработчикам антивирусов Pico API. Для работы с bashware не нужно писать специальные вирусы для Linux, которые будут потом запущены в атакуемой Windows с помощью WSL. Благодаря программе Wine можно использовать обычное вредоносное ПО для Windows, в том числе давно известное - оно будет скрыто от антивирусов.

2015

Пять бюллетеней безопасности Windows 10 за 2 недели

11 августа 2015 года компания Microsoft представила пять бюллетеней безопасности, затрагивающих Windows 10, ещё один относится к браузеру Microsoft Edge, всего с момента выхода этой версии ОС выпущено 14 бюллетеней. В новом выпуске - традиционные для второго вторника месяца обновления других продуктов Microsoft[20].

Три из них относятся к разряду критических, эти обновления рекомендуется установить как можно скорее. В их числе MS15-079, MS15-80 и MS15-81, закрывающие уязвимости Windows, Internet Explorer (браузер) и Microsoft Office. По словам аналитика Вольфганга Кандека, 40% выпущенных в этом месяце компанией Microsoft обновлений предназначены для Windows 10. Для сравнения, в первые два месяца после релиза Windows 8 для неё выпускалось 60% от общего числа обновлений для продуктов Microsoft.

Для Office критические обновления выпускаются редко. В этом выпуске закрывается уязвимость, через которую атакующие могут получить контроль над системой пользователя, заставляя его открыть специально созданный документ Word. По данным Microsoft, эта уязвимость уже используется злоумышленниками.

Бюллетень MS15-085 относится к уязвимости, в рамках которой для получения доступа в систему используются USB-флэш, содержащие код, активируемый при её подключении к устройству. Примеры этого уже имеются. На бюллетень MS15-083 стоит обратить внимание пользователям Windows Vista и Windows 2008, работающим с файлообменными сервисами с протоколом SMB (Small Message Block).

Обзор новшеств в сфере ИБ в Windows 10

В 2015 году до официального старта продаж ОС Windows 10 обозреватели анализировали какие полезные для предприятий функции безопасности были добавлены в новый продукт.

Microsoft рекламирует улучшения в таких областях, как защита личных данных и контроль доступа, защита информации и устойчивость к угрозам. Например, в области контроля доступа, в Windows 10 будет нативная двухфакторная аутентификация, поскольку Microsoft пытается заставить пользователей выйти за пределы метода использования одного пароля, который оказался слишком уязвимым. С двухфакторной аутентификацией, злоумышленники должны получить две части информации, чтобы взломать систему, такие как пароль и код, посылаемый на устройство пользователя, например, на смартфон.

В части защиты информации Windows 10 оснащена технологией предотвращения потери данных (DLP), заключающейся в том, чтобы разделить личные и корпоративные данные, а также защищает последние с помощью «сдерживания». Корпоративные приложения, данные, электронная почта, веб-контент и другая конфиденциальная информация будет автоматически шифроваться в Windows 10 — как в настольных ПК, так и в мобильных устройствах.

ИТ-специалисты получат возможность разрабатывать политики контроля — какие приложения могут получать доступ к корпоративным данным. Windows 10 расширяет возможности управления VPN для защиты корпоративных данных в устройствах, принадлежащих сотрудникам.

В сфере устойчивости к угрозам и вредоносным программам, у Windows 10 будут функции блокирования устройств, позволяя пользователям запуск только приложений, подписанных с помощью сервиса подписи Microsoft.

ИТ-администраторы смогут определять, какие приложения они считают заслуживающими доверия: те, которые они подписывают сами, которые подписаны независимыми поставщиками программного обеспечения, или те, которые доступны в Microsoft Store (бывший Windows Store), или все из них.

2014: Наталья Касперская: в ОС Windows есть опасные «закладки»

Говоря об обеспечении информационной безопасности государства как об одной из целей импортозамещения, гендиректор группы InfoWatch Наталья Касперская на круглом столе в Госдуме в июле 2014 г. выразила уверенность, что в ОС Windows присутствуют «закладки», которые могут нанести ущерб стране.

«У меня нет никаких сомнений, что они там есть, и что в какой-то момент их активировать не представляет никакой сложности, в том числе в тех компьютерах, которые считаются защищенной средой: только потому, что такая техническая возможность есть. Важны именно возможности», - сказала Касперская.

Она добавила, что нет возможности проверить «все многомиллионные строки кода Windows, которые написали разработчики, поскольку для этого нужно иметь штат разработчиков, равный тому, что имеется в Microsoft».

Гендиректор InfoWatch Наталья Касперская полагает, что в случае войны «закладки» в Windows могут быть активированы

Развивая тему, Наталья Касперская отметила, что все понимают, «что может быть, если, например, Microsoft будет предписано поставить какие-нибудь вредоносные обновления на территории всей страны и когда по всей стране все компьютеры практически в одночасье выключатся».

Возможности «закладок» на практике пока не были реализованы, поскольку Россия не находится в состоянии открытых военных действий: «если же предположить на секунду, что страна находится в таком состоянии, то они могут быть активированы», полагает гендиректор InfoWatch.

Директор по информационной безопасности Microsoft в России Владимир Мамыкин по этому поводу заявил TAdviser, что одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов корпорации, является ее сотрудничество с государством и выполнение национальных требований к сертификации ПО.

Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. На сегодня сертифицированы уже более 40 продуктов, включая Windows 8. Наши клиенты, в числе которых и госзаказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям», - говорит Мамыкин.

Сергей Груданов, гендиректор компании «Сертифицированные информационные системы» отмечает, что основой безопасности информационных систем является проверка использованного в них ПО на соответствие российским требованиям по безопасности, предъявляемых ФСТЭК и ФСБ. Возможность анализировать исходные коды, в том числе и на предмет отсутствия в них закладок, предоставляется Microsoft российским спецслужбам уже более 10 лет, а сама компания получила наибольшее число сертификатов, выданных зарубежным производителям ПО, говорит Груданов.

Примечания

  1. Microsoft представила Win32 app isolation - новый стандарт безопасности для приложений Windows
  2. Как ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows
  3. Microsoft устранила 52 уязвимости повышения привилегий во вторник исправлений
  4. Новая версия вымогательского ПО Magniber угрожает миллионам пользователей Windows 11
  5. Новая функция безопасности Windows блокирует уязвимые драйверы
  6. Эксперты предупредили пользователей Microsoft об уязвимости "нулевого дня"
  7. Windows MSHTML zero-day exploits shared on hacking forums
  8. Windows 10 начнет по умолчанию блокировать потенциально нежелательное ПО
  9. Уязвимость в Windows 10 повреждает жесткий диск после просмотра файла
  10. Microsoft product vulnerabilities reached a new high of 1,268 in 2020
  11. С помощью «секретного» протокола можно захватить любой ПК на современной Windows. Видео
  12. Study: Majority of zero-day vulnerabilities now failed against Windows 10
  13. Windows 10 регистрирует активность пользователя, даже если эта опция отключена
  14. This Windows file may be secretly hoarding your passwords and emails
  15. Microsoft позволит пользователям Windows 10 просматривать телеметрию
  16. Microsoft опубликовала стандарты безопасности для устройств на базе Windows 10
  17. Dutch DPA: Microsoft breaches data protection law with Windows 10
  18. Раскрыт список данных, собираемых Windows 10
  19. Подсистема Linux в Windows 10 позволяет прятать вирусы
  20. Вторничный патч Microsoft за август 2015