Новая уязвимость нулевого дня Windows 10. Как исправить?

Will Dormann, аналитик уязвимостей в «Координационном центре по решениям проблем безопасности в Интернете CERT/CC», протестировал код уязвимости нулевого дня в Windows 10 с последними обновлениями безопасности, и представил свои выводы…

Новая ошибка нулевого дня в «Windows 10» помогает удалить любой файл через доступную уязвимость
Содержание:

Введение

Во многом, устойчивое функционирование операционной системы достигнуто за счет постоянной работы разработчиков, направленной на совершенствование программной оболочки системы и ее модификацию. Одним из способов улучшения системы является программа предварительной оценки «Windows Insider Preview», рассчитанная на взаимодействие разработчиков и конкретных конечных потребителей операционной системы, которые в режиме реального времени тестируют на своих устройствах новые приложения и дополнительные службы операционной системы, и сообщают обо всех неполадках и сбоях посредством обратной связи. Такое разноплановое тестирование способствует быстрому обнаружению возможных ошибок, определению востребованности определенных функций системы и мгновенному устранению любых отклонений «Windows». И только после отладки системы, проверенные дополнения будут доступны всем пользователям в новом официальном обновлении операционной системы.

Однако не всегда удается обнаружить все неисправности представленных улучшений, и существует вероятность, что определенные уязвимости останутся и могут быть использованы для скрытого проникновения в систему, ее заражения или причинения вреда компьютерному устройству и всей расположенной на нем информации.

Одной из таких неполадок можно выделить уязвимость нулевого дня операционной системы «Windows 10», которую обнаружил ответственный исследователь безопасности и выпустил проверочный код обнаруженной угрозы прежде, чем программисты корпорации «Microsoft» смогли выпустить соответствующее исправление. Код использует уязвимость, которая позволяет без разрешения удалять любые данные на компьютере, включая системные файлы, и потенциально может привести к повышению мошеннических привилегий.

Полностью обновленная операционная система «Windows 10» уязвима

Полностью обновленная операционная система «Windows 10» уязвима

За открытием лазейки в операционной системе «Windows 10», способной привести к возможному заражению и зловредному воздействию вредоносных вирусных программ, стоит исследователь, использующий сетевой псевдоним «SandboxEscaper», также ответственный за обнаружение и публикацию еще одной ошибки безопасности, обнаруженной им в компоненте диспетчера задач «Windows».

Обнаруженная уязвимость нулевого дня может быть использована для удаления файлов библиотеки динамической компоновки «DLL», которые используются приложениями в своей деятельности, и заставит программы искать недостающие библиотеки в других местах. Если вынужденный поиск достигнет месторасположения, в котором локальному пользователю предоставляется разрешение на запись сторонних элементов, то злоумышленник может воспользоваться ситуацией и предоставить подложные вредоносные библиотеки «DLL» И как итог, подвергнуть систему заражению.

Проблема главным образом связана со службой обмена данными «Microsoft», присутствующей в операционных системах «Windows 10», «Server 2016» и «2019», которая обеспечивает посредническую передачу данных между приложениями.

Will Dormann, аналитик уязвимостей в «Координационном центре по решениям проблем безопасности в Интернете CERT/CC», протестировал код уязвимости нулевого дня в операционной системе «Windows 10» с последними обновлениями безопасности, и представил свои выводы.

Обнаруженную ошибку сложно использовать

Разработчики вредоносных программ регулярно проверяют выпускаемые обновления операционной системы на предмет обнаружения различных видов неполадок, и мгновенно реагируют на их наличие, быстро размещая в своем программном обеспечении возможность использования идентифицированной ошибки. Но это в малой степени относится к проблеме, обнаруженной исследователем уязвимостей «SandboxEscaper», и шансы на ее использование зловредными программами для заражения операционной системы через службу обмена данными «Windows» невелики.

Несмотря на тот факт, что удаление файлов операционной системы и последующая перспектива повышения разрешающих привилегий представляют собой серьезную угрозу общей безопасности операционной системы «Windows», ошибка заключается непосредственно в «слабом качестве кода» и «сложностями в использовании», исходя из собственных исследований аналитика уязвимостей «SandboxEscaper».

Например, исследователь безопасности Kevin Beaumont отмечает обнаруженную ошибку как «превосходную находку», которую в тоже время, по его мнению, было бы довольно сложно использовать осмысленно. Например, уязвимость можно применить против некоторых драйверов «OEM» (например, процесса обновления видеокарты), но на практике это практически не реализуемо.

При описывании ошибки нулевого дня «Windows» исследователь «SandboxEscaper» упоминает, что злоумышленник может осуществить перехват динамически подключаемой библиотеки «DLL» в стороннем программном обеспечении, или удалить временные файлы, используемые системной службой в директории с адресом «c:/windows/temp», или перехватить их, с целью осуществить определенные злонамеренные действия различной разрушающей силы.

Однако, специалисты доверенных компаний по кибербезопасности подвергают серьезному сомнению тот факт, что можно найти «универсальный способ применения данной уязвимости для выполнения произвольного кода». Например, генеральный директор «Acros Security» Mitja Kolsek в личной беседе отмечает, что использование обнаруженной уязвимости может влиять на систему, и потенциальный риск перехвата библиотеки динамической компоновки «DLL» действительно существует. Если локальный злоумышленник, не являющийся системным администратором, может выполнить запись в любую папку набора каталогов переменного окружения исполняемых файлов «PATH» (что почти наверняка уже само по себе является угрозой безопасности операционной системы «Windows»), он может удалить «DLL» и установить туда вредоносную копию, чтобы запустить ее в следующий раз, используя привилегированный процесс. Но завершая разговор, специалист утверждает, что такое развитие вектора вредоносной атаки маловероятно.

Отличие ранее обнаруженной ошибки компоненты диспетчера задач «Windows»

Специалист Kolsek также обращает внимание, что две ошибки (нулевого дня и компоненты диспетчера задач), обнаруженные исследователем уязвимостей «SandboxEscaper», имеют некоторые сходства, но различия делают их двумя отдельными проблемами. Схожесть с ошибкой повышения привилегий в локальной службе обмена данными заключается в отсутствии индивидуальной персонификации некоторых важных операций. А разница между ошибками, которую отдельно подчеркивает исследователь «SandboxEscaper» при предъявлении доказательств в проверочной концепции «Proof of concept (PoC)», выражена главным образом в непосредственном удалении приложения «DLL» без осуществления записи лишнего кода в папку временного окружения исполняемых файлов, и надежде, что программа будет искать динамически подключаемую библиотеку в местах, доступных для записи пользователем. Или уязвимость удаляет критически важный системный файл, и делает компьютер не загружаемым.

Решение проблемы до официального исправления

Решение проблемы до официального исправления

Первоначально, стало доступно временное решение через платформу «0Patch», призванное устранить обнаруженную уязвимость, пока программисты корпорации «Microsoft» не подготовили официальное исправление.

«0Patch» специализируется на предоставлении для стационарных персональных компьютеров и других электронных устройств миниатюрных исправлений кода («микропатчей»), которые предназначены для исправления ошибок и устранения системных дыр в программном обеспечении с закрытым исходным кодом. И предварительный образец решения уже был готов через семь часов после объявления об уязвимости нулевого дня. Представленный микропатч успешно нейтрализовал данную опасность, осуществив персонализацию процесса и заблокировав операцию по удалению системных файлов.

Стабильная бесплатная версия микропатча уязвимости нулевого дня для полностью обновленной версии «1803» операционной системы «Windows 10», связанной с произвольным удалением файлов, опубликована и доступна для скачивания на официальном сайте «0Patch».

Заключение

Повсеместное использование компьютерных устройств в разнообразных областях деятельности пользователей напрямую связано с хранением, обработкой и передачей информационных материалов, и требует применения надежной и современной операционной системы. А по причине перевода большинства данных в электронный формат, обеспечение должного уровня безопасности компьютерных устройств, программной оболочки и цифровых данных приобретает особое приоритетное значение.

Операционная система «Windows 10» является надежной и стабильной системой. Но иногда, отдельные ее улучшения могут содержать слабые участки программного кода, подверженные возникновению системных ошибок, через которые в систему способны проникать зловредные программы.

И несмотря на то, что не все уязвимости операционной системы могут и обязательно будут использоваться для заражения компьютерных устройств вредоносным программным обеспечением, сам факт их наличия существенно увеличивает риск возможного заражения и порчи информации, кражи конфиденциальных данных и выполнения других зловредных действий, которые способны привести к серьезным разрушающим последствиям.

Поэтому надо внимательно относиться к системным уязвимостям и следить за их своевременным устранением.

Author: Maxim Cherniga

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)