Но необходимо понимать, что для реализации Process Doppelgänging злоумышленник должен знать немало недокументированных и технически сложных нюансов о работе и создании процессов в системе. Может быть, она будет полезна спецслужбам, у которых и без этого есть терморектальный криптоанализатор необходимые возможности.
Найдется кто такое напишет. А потом — будет продавать.
Найдётся тот, кто заплатит денег (даже вперёд) тому, кто такое напишет, а потом будет продавать.
Но необходимо понимать, что для реализации Process Doppelgänging злоумышленник должен знать немало недокументированных и технически сложных нюансов о работе и создании процессов в системе.

Как будто раньше для написания вирусов этого знать не надо было.

Закрывать уязвимости — задача производителей ПО, но никак не антивирусов…
Я могу ошибаться (не вникав в детали), но в данном случае — это больше похоже не на уязвимость ОС, а на способ обхода механизмов антивируса.
В общем-то да. Но тогда заголовок совсем не соответствует содержанию ;-)
Как я понимаю — обходится один компонент — файловый монитор. Но
1. До всего прочего троян должен проникнуть на машину. Через уязвимость или скачивание с сайта. Предположим проверку трафика можно обойти через передачу объекта в закрытой сессии. Ладно. Но любой новый объект в системе должен проверяться — кто-то же запущенный создает транзакции файловой системы. В этот момент троян может быть пойман — прецеденты есть
2. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции. В каком режиме работал файловый монитор?
3. Ладно, запустился троян. Периодически работает антируткит, он все процессы должен проверять для нахождения в том числе безфайловых троянов. Почему он не сработал?
2. файловый монитор может работать в двух режимах — обычном и параноидальном. Параноидальный это смерть компьютеру, но проверяются по идее все файловые операции.
Так давно уже известно, что более-менее защищённым можно считать только выключенный компьютер в сейфе.
А что делать, если его всё-таки надо использовать?
1. обойтись без интернета
2. работать в ОС в режиме readonly
По примеру концентраторов системы «Экспресс-2» — выключать дисководы после загрузки.
>>работать в ОС в режиме readonly
не подскажете как это сделать в Windows?
LiveCD (для WinXP точно был) + Ram-disc? Любое заражение, любой троян, любой вася-петя лечится тупо перезагрузкой :)
Acronis и регулярный бэкап — это да
Но как это связано с «ОС в режиме readonly»?
Самое простое — LiveCD.
Вариант с HDD посложнее, тут инет курить надо.

Зловред может прочитать конфиденциальные данные на рамдиске или внешнем накопителе и куда-то их отправить. А на внешнем и зашифровать

В Ембеддед винде это элементарно.
Там же написано — эксплойт переписывает легитимный фаил зараженным содержанием, но не завершает транзакцию, поэтому антивирус не может проверить файл на этом этапе. потом процесс загружает зараженный образ из этого файла в память. а потом откатывает транзакцию.
В итоге в памяти находится зараженный образ, а на диске «хороший», старый. Причем зараженный образ в памяти асоциирован с хорошим на диске. Это и обдуривает антивирусы, когда задача зараженного образа начинает делать чего-то в системе. Они-то, антивирусы, проверяют файл. А он хороший.
Это не весь антивирус. А один его компонент — файловый монитор. Его обойти можно и более простыми способами.
Ситуация же с уязвимостью такова — на охраняемом объекте отключили охрану периметра, убрали собак с территории — и взломали замок на двери в некий цех. Да, уязвимость замка найдена, но вопрос сможет ли добраться до него злоумышленник, если система охраны действует штатно?
1. Я ничего не писал про то, что нужно отключить «охрану периметра» и «собак». Тогда, по-Вашему, если есть колючка и собаки, то можно замки не вешать?

2. Файловая система и менеджер памяти всегда были штатной частью ОС. Антивирус — до последнего времени (до Windows Defender) был дополнительным. Я не против антивирусов, не нужно меня минусовать. Но я считаю, что одно дополняет, а не заменяет другое. И эти части, ФС, МП, Сеть и антивирус, должны работать совместно, дополнять друг друга.
ФС, МП должны обеспечивать авторизацию доступа к ресурсам и правильную транзакционную работу.
Антивирус должен проверять содержимое, отслеживать паттерны активности, доступа к ресурсам и тп.

1. Когда как, смотря какие риски и какие потоки данных. Но мой ответ не об этом. Я написал, что новость в общем — желтая. Да есть уязвимость, но одного только компонента. Если же стоит нормальный и настроенный набор компонентов защиты (скажем включая контроль целостности системы), то уязвимость одного компонента не сыграет

2. Я не минусовал. Ответ был к уже заминусованной записи
1. согласен. новость желтоватая.
2. без проблем :)

А это вообще уязвимость? Вместо одного процесса, который можно запустить, запускается другой процесс, который опять-таки можно запустить. Обход антивирусной защиты — да, но уязвимость в чем?


об обнаружении уязвимости в загрузчике Windows

Не в загрузчике.

В этой ситуации происходит создание процесса из копии файла, данные которого не были подтверждены.
По логике надо либо отчищать созданную копию файла при откате транзакции, либо делать копию файла в памяти только на основании реальных данных на диске, транзакции по которым были завершены.

Это в принципе понятно. Вопрос в том, можно ли таким способом запустить код с повышенными привилегиями, или же это де-факто не более страшная атака, чем подмена ярлыка на рабочем столе, только менее заметная. :) Из текста даже неясно, можно ли хотя бы UAC так обойти.

Ну, «чем подмена ярлыка» уже страшнее, так как позволяет запустить зловред, который известен антивирусу, установленному в системе. Соответственно, должна позволять запустить код, использующий уязвимость типа EOP, или ботнет, или кейлоггер, или шифровальщик, или ещё что-нибудь не менее противное. Запущенный авторами оригинальной публикации mimikatz был антивирусу известен и при тестах «в лоб» ловился, однако после запуска через доппеля вполне себе работает. По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.

Еще раз — обход антивирусной защиты как таковой не является уязвимостью ОС. Это принципиально разные вещи, и говорить об "уязвимости во всех версиях Windows" — передергивание в чистом виде.


По мне, этот эксплоит открывает дверь для всех остальных эксплоитов, и этого уже хватает, чтобы запаниковать.

Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса). Да и этот тоже не из воздуха на ПК компилится, и если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема. Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)

Хорошо, но уязвимостью является создание процесса, который выглядит легитимно, а на деле зловред. По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw. Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.


Только эти "остальные эксплойты" еще должны на компьютер как-то попасть (причем тоже незаметно для антивируса)

Согласен, впрочем, их без проблем можно зашифровать. Главное — создать корректный исполняемый файл в текущем окружении, который скормить потом в createprocess. Вспоминается Win32.Duqu, который, кстати, тоже был бесфайловым.


если вся его сила в том, что антивирусы о нем пока ничего не знают — ну так это не проблема

Непохоже, что только в этом. Механизм сам по себе довольно необычный, может статься, что будет очень неудобно для его перехвата ставить хуки. Антивирусы обычно мониторят активность на файловой системе, потому что доступ к данным на диске — довольно длительная операция, и состояние процесса "ожидание ввода-вывода" вполне нормальное. Мониторить активность в памяти на порядок проблематичнее.


Если паниковать при узнавании о каждом способе сокрытия зловредами следов своей деятельности, можно окончательно сна и здоровья лишиться. :)

Уже… спасибо за заботу :)

По мне, такой механизм создания процесса из кода, который не сохранялся на диск, вполне тянет на уязвимость, в крайнем случае типа design flaw.

В чём уязвимость-то? Что этот механизм позволяет сделать такого, что нельзя сделать без него?
Если ответ «скрыться от антивируса», то проблема в антивирусе, а не в ОС.

Кроме того, этот механизм помогает обойти DEP — мы получаем код извне как данные, записываем в транзакции в файл, создаем секцию памяти из него, хоп у нас уже код. А DEP — уже функция операционной системы.

В такой трактовке, запись на диск исполнимого файла тоже «позволяет обойти DEP».
Как я понимаю, проблема может проявиться в таком сценарии:
1) пользователь качает и запускает некий лоадер, который содержит зашифрованный зловред
2) лоадер при запуске создает какой-либо файл с «приличным» содержимым. этот файл проходит проверку антивирусами и срабатываний не вызывает
3) лоадер выполняет те самые манипуляции с транзакциями, вписывая расшифрованное из себя содержимое зловреда в копию файла в памяти. При нормальном ходе вещей эта операция бы отловилась антивирусом, но из-за бага или особенности виндовс — не отловится
4) лоадер выполняет малварь и, хотя антивирус ее знает, продетектить он ничего уже не может

Так что, на мой взгляд, ситуация все же достаточно неприятная. Для пользователей виндовс.
«Неприятная ситуация для пользователей Windows» — это всё равно не «уязвимость в Windows».
DEP — это средство предотвращения случайного исполнения данных, а не намеренного. Так-то обойти его очень просто: создаем в адресном пространстве новый регион указав флагами разрешения на запись и исполнение. Один вызов VirtualAlloc. Все, больше ничего не требуется.
Хук можно поставить на операцию начала, или отката транзакции, наверно это не такие частые процедуры.
Странно что удалось обойти антивирус при создании процесса,. у него итак есть хуки на все функции, наверное тут чуть поменяют алгоритм и всё заработает.
Тут важен не момент простановки хука, а выбор объекта для проверки. Антивирусу нужно проверять файл именно в том виде в котором его видит запущенный процесс.
1. Будет ли это работать из под пользователя? (Прав на запись в служебные каталоги нет, сможет ли создаться транзакция на изменение легитимного файла)
2. Будет ли это работать с включенной SRP?
Ну, если учесть, что микрософт сама поддерживает один из антивирусов и всячески рекомендует антивирусы использовать — то это, скажем так, уязвимость в экосистеме M$.
Пока просто показана методика запуска переименованного Блокнота.
Если на исходный ехе-шник установлены права доступа с запретом на исполнение, эта методика не сработает.
Да и кому нужен кейлоггер/шифровальщик, работающий из под обычного юзера?
Вот как раз кейлоггерам или шифровальщикам из-под обычного юзера очень неплохо работается. Ну, разве что теневые копии диска удалить не получится, но полно же систем где они отключены.
Порушить свою собственную корзину, разве что…
Я бы сказал, что подмена ярлыков на рабочем столе — куда более страшная атака чем эта. Потому что подмена ярлыков постоянная, а эта атака — на один раз.

Нет, UAC так обойти нельзя. Запуск программы с правами администратора происходит совершенно не так же как обычное порождение дочернего процесса.

С другой стороны таким финтом можно обойти т.н политики default deny/golden image/srp т.к подпись то валидная будет. Или я что-то не понимаю

Не будет она валидная, потому что загружаться будет изменённый файл (хоть и не записанный на диск).
WinVerifyTrust например не умеет верефицировать подпись из памяти у PE, поэтому иногда по проверяют по файлу с диска.
Вот это уже более интересное использование…
Существует ли патч закрывающий данную уязвимость? Если нет, то ведется ли над ним работа?
Конечно. UAC или работа из под ограниченного пользователя. Всё это не позволит вредоносному коду модифицировать загрузчик. Ну или упомянутые ниже SRP/AppLocker, которые ему просто не дадут запустится.
Что вы понимаете под «модифицировать загрузчик»?
Для вызова ZwCreateProcess никаких особых прав не нужно.
Чёрт, я подумал, что имеется в виду загрузка Windows. То то я недоумевал, причём тут антивирус.
В общем облом будет на этапе «создается транзакция NTFS на изменение какого-либо легитимного файла Windows», я так думаю. А при SRP вредоносный код просто не запустится.
А при SRP вредоносный код просто не запустится.

Смотря как именно выполнен запуск процесса, выполняющего подмену файла. Если через другую уязвимость, позволяющую хоть какой-нибудь RCE, даже из-под пользователя, подменить можно будет (попытаться) какую-либо из программ, которая разрешена для запуска в SRP/Applocker. Тогда полезная нагрузка запустится, и будет непросто её отследить.


Да и никто не говорит, что SRP не_нужен, просто он всё-таки не панацея. Хотя от очень многих проблем действительно избавляет.

Всё верно. Я к тому, что при правильных настройках эта уязвимость ничего не сможет сделать сама по себе. А в комплексе да, может усложнить детектирование антивирусом и/или отслеживание по логам.

Транзакция NTFS может быть создана и из-за уязвимости в леитимном софте, и поведенческий анализ не спасет

Бинарник хрома обычно находится в доступной на запись папке. И является вполне себе легитимным файлом Windows.
У нормальных админов бинарник находиться там где ему и положено.
Так то у админов…
Такие люди и под админом с отключённым UAC работают, их уже ничего не спасёт.
Если не ошибаюсь, то это стандартный способ установки Хрома. Нет?
Конечно. Стандартный ужасно кривой и не безопасный способ, не совместимый с безопасными приёмами работы в ОС, который сделали для ламеров, чтобы запрос UAC не портил статистику установок и для лёгкого обновления на новую версию зонда сами знаете для какого места.
Парни ну вы что?
www.google.com/intl/v/chrome/business/browser/admin
Ставиться куда надо, ещё можно шаблонов для политик накачать, и через политики его настроить как вам нужно.
Мы то с вами знает про эти ссылки и способы, а вот обыватель качает хром с более простой ссылки со стандартными настройками.
Так обсуждение хрома пошло с вашего коментария про SRP.
А если настроен SRP никакой хром не будет работать в appdata
Я думаю тот кто справился с SRP уж точно сможет найти правильный хром.
Скорее всего да, исключая случаи настройки по мануалу без понимания принципов. Хотя даже я всё время забываю про эту ссылку, наверное, потому что не пользуюсь хромом, и вряд ли её быстро нагуглю.
Да, такой патч существует, причем уже очень давно. Нужно использовать учетную запись с правами Пользователь, а Администратора использовать только для критичных перенастроек и установки ПО. Да, согласен, это может быть непривычно и в чем то неудобно. Но это вполне возможно, для любых практических ситуаций, даже для разработки ПО. Постоянная работа в учетке с повышенными привилегиями напоминает мне вождение без ремня безопасности и прочие лихачества.
Пользовательские файлы вирус может повредить и без привилегий администратора.
Но вирус из статьи даже не запустится, это главное. Мы ведь говорим про него?
И еще про пользовательские файлы… вообще-то единственное 100% надежное решение — регулярный автоматический бэкап. А ограничение прав поспособствует тому, что потенциальный вирус не сможет вмешатся в работу ПО резервного копирования или вообще уничтожить весь архив. Обычно архив недоступен на мофицикацию для бэкапируемой учетки.
Я правильно понимаю, опять нужно левые экзешники запускать?
тогда можно немного расслабиться.
Дааа… Без SRP уже хоть компьютер не включай… ))
А разве это правильно что екзешники в принципе могут писать что захотят и куда захотят ??
Вот вздумается производителю браузера похерить все ваши данные — взял и похерил. Красота.
( я не имею в виду системные фаилы, мне как пользователю мой фаил «Дипломная.docx» (с последними изменениями) с over 9000 раз важнее любого системного фаила который я могу переустановить скачав с инета...)
А екзешники я запускать хочу. Как же мне поиграть в «супер-новая-игра-запусти-меня.exe»
Я как хомечёк должен иметь право запускать любой экзешник, а экзешник как любая потенциально-нежелательная программа не должна иметь по умолчанию никаких прав. Как на андройде — это сложно сделать что-ли?
Нравится вам андройд — поставьте его себе на комп, в чём проблема-то?
А мне нравится возможность сохранять из браузера файлы, и моя ОС мне такую возможность даёт.
tyomitch
-поставьте его себе на комп:
Я высказываюсь не о том что какая-то система прямо лучше. Даже наоборот — Меня
просто тошнит от всяких AndroidManifest.xml и необходимости создания целой
структуры непонятно зачем нужных папок…
Я говорю о безопасности в ОС и привожу пример той ОС где это реализовано хоть
как-то. В самом андройде это тоже реализовано не правильно… Я сталкивался с
вредоносным ПО которое целенаправлено предлагает нажать на экран 5 раз подрят в то место где появится запрос на предоставление программе повышенных прав… Юзер тыкает пять раз в экран и «по инерции» при появлении нового окошка случайно
нажимает шестой раз — и оп майнер в системе.

-нравится возможность сохранять:
А я не против чтобы браузер мог их писать. Я против того что он может их писать куда угодно. Программа должна иметь возможность писать только в ту папку в которой она

была запущена. Точнее сама программа должна быть папкой-контейнером. Запустил — она в себя записала. Если захотел — открыл и вытащил. САМ. И сохранил уже куда
надо. есть папка например «запусти-меня-я-игра.exe» внутри исполняемый бинарный
фаил и система будет разрешать по умолчанию писать такому бинарнику ТОЛЬКО в
эту самую папку. И проблема безопасности тогда даже не возникнет. Не возникнет
проблем появления неизвестно откуда новых программ/(майнеров) от mail.ru (это
например). Не возникнет проблем с появлением кучи временных фаилов в temp
весящих по пол гига. не будет проблем с подменой ярлыков к браузерам (и подменой домашней страници в принципе).

Например я учитель по информатике:
Я хочу получая фаил от школьника по скайпу — иметь возможность его запустить. Если фаил потребует какие-то дополнительные привилегии — то посылать собеседника на 3-и и более буквы. А если нет — успешно увидеть что же именно на клепал мой ученик. Сейчас такая защита УЖЕ есть, но к сожалению по умолчанию — дополнительные привилегии — это те которые подразумевают изменение параметров системы, а не в принципе запись фаилов в любую папку кроме той откуда запушен этот фаил.
Да сработает УАК: «программа что-то пытается сделать». А что именно?? хрен с ней —
запретить. И оп — майнер прописался в аппдату. Всё равно прописался! Да не в
систему, но в юзера.

@ ClearAirTurbulence
— синхронизация с облаком:
Данные мои и только мои и я не хочу их отдавать Васе Пупкину. Даже в зашифрованном виде.

— Песочницы:
не все песочници одинаково полезны/бесплатны/эффективны/«сами защищены»
например sandboxie (по сути антиреклама):
1) при запуске psiphon3 он успешно подменяет мне настройки прокси. Прямо в моей

учётке — ему не важно что запущено было из песочници.
2) не помогает при запуске игр в несколько окон — они не только ЗНАЮТ и ВИДЯТ

процессы друг друга, но и свободно меняют память друг в друге.
3) запуск игр, защитой от читов, в принцпе — игра просто не запуститься — античиты
на раз два раскуривают тему, что они находятся в песочнице.
Значит sandboxie — нам не подходит. А узнать подходит или нет можно УЖЕ после того как заплатил за неё деньги…
Другие песочници дороже и вообще не имеют пробных периудов.
другой пример virtualbox:
1) при запуске вируса он прописывается в нутри виртуальной машины и это ничем не лутше установки его вне виртуальной машины. Потому что на «перестановку ОС»/«перезаливку образа диска» в нутри виртуальной машины всё равно придётся тратить время. И если там были сохранены какие то данные то они успешно похерятся.
2) производительность… тут без комментариев.

Сейчас мне приходится держать для этого отдельную ограниченную учётку (которой я запретил доступ на запись во все диски и папки кроме одной — «загрузки».) и все
программы запускать от её имени — но это ОЧЕНЬ не удобно. Было бы правильно если бы такая возможность была на уровне операционной системы. По сути Microsoft не нужно даже переписывать свою систему — всё необходимое для изоляции программ уже есть. Осталось только задуматься о безопасности данных, а не безопасности системы.

Хотя вспоминая времена дисков с драйвером star-foce (который обычный пользователь, без прав админа, конечно, не сможет установить) всё это бесполезно… Когда для запуска игры требуется не просто запустить левый екзешник но и левые дрова в систему прописать — это шик… Но как минимум если права будут урезаны по умолчанию — распространители игр, в целях увеличения аудитории, будут стараться исключать в своих программах необходимость иметь доступ который будет мешать запуску этих самых игр. У пользователей хотябы появится возможность выбирать — доверять ПО или нет. (при текущем раскладе никакому ПО доверять нельзя).
Учителю информатики я бы порекомендовал завести пользователя с пониженными привилегиями если на виртуалку ресурсов не хватает.

Учитель информатики, между прочим, дело говорит, пусть и несколько сумбурно. Вас никогда не посещало чувство «Не буду ставить Skype/Steam/иной проприетарный блоб — кто его знает, что за файлы с моего компа оно отошлёт домой, и каких скриншотов надёргает»?

Если захотел — открыл и вытащил.

Чем «открыл и вытащил»? Уникальной программой, наделённой способностью писать вне себя?
А для чего ещё системный проводник нужен? Всё равно ведь захочешь писать на флешку. Всё равно понадобятся исключительные права. Ну так почему бы не иметь их стандартному проводнику windows? Тут как раз UAC должен работать. Т.е. проводник должен иметь возможность писать куда угодно кроме системных фаилов по умолчанию. А так как он системный — это даёт гарантию что он не будет устанавливать майнеры от сторонних производителей вам в appdaту…
А потом: «Коварный M$ встроил в свою винду корявую прогу для вытаскивания скачанных файлов, и запретил сторонним вендорам реализовывать такую же функциональность самим?!? Ату, ФАС!»
А что? Именно такой продукт мне и нужен. Можно долго рассуждать на тему имеет ли право монополист делать в своей системе то что он захочет, но лично я не против отдать ту цену которую сейчас стоит винда, если бы она была именно с таким функционалом. (Желательно конечно без слежки и других лишних сервисов, но тут уже конфликт интересов будет с ихней стороны.)
Вряд ли Microsoft (или кто бы то ни было) станет реализовывать фичу, которая позволит им получить $119 лично от вас, но при этом подвергнет риску штрафа на полмиллиарда рублей.
Ну так это могло бы быть опцией… Например при установке. Или при создании пользователя. А риск — дело благородное.
Поздравляю, Вы сейчас открыли для себя MacOS X (не реклама)

Я, конечно, понимаю, что учитель в силу многих обстоятельств не сможет использовать что-то отличное от Windows, но в какой-то абстрактной работе это очень помогает (где нет зависимости от платформы).

Я про то что MacOS X без всяких дополнительных телодвижений:
  • Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
  • Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)
  • При попытке внести изменения за пределы своего окружения, система спросит пользователя об этом (обычно даже поясняя, что именно хочет сделать приложение)


Ну и там много еще чего интересного, но всё это можно найти в интернете

Какая-то у вас неправильная MacOS X или вы спутали ее с iOS?


Как и любая другая полноценная десктопная ОС, макос позволяет любому приложению шататься по любым файлам пользователя и писать куда ей вздумается без каких-либо на то ограничений (разумеется, речь не идет про разграничение прав пользователей на папки). Например, при запуске Path Finder никаких прав не спрашивает до тех пор пока вы не сунетесь куда нельзя.


Управляет доступом к оборудованию (камера, геолокация, микрофон и т.д.)

До тех пор пока речь идет про стандартное оборудование. В винде, впрочем, винда так же раздает права самостоятельно на штатное оборудование.

Нет, не путаю, хоть пользуюсь обеими. И да, обе спрашивают про привилегии, в момент доступа, а не заранее

Плюсом ко всему, приложение должно быть подписано валидным разработчиком в AppStore

Я хочу посмотреть как школьник будет подписывать своё приложение и публиковать его в аппстор. В конкретно данном примере Макос ничем не лучше винды, и скриптик на питоне так же может прописаться в окружении пользователя в автозагрузке и майнить что хочет, только потом ещё найти его будет сложнее. И так же может пошифровать все файлы.


После последних фейлов безопасности Apple я бы постеснялся приводить Макос как пример безопасности

Именно то, что любой школьник не может опубликовать (и подписать) своё приложение в AppStore и говорит о том, что это немного более безопасно, чем super_puper_app.exe

Да, фейлы безопасности есть у всех (лично я использую все 4 семейства ОС, везде хватает), однако вопрос не в фейлах, а легкости выстрела себе в ногу.

В Windows по моему мнению это сделать легче всего, дальше уже идут MacOS, Linux, Unix(*BSD) и всякая экзотика, где люди себе в ногу стреляют осознанно или эксперимента ради

Я про то, что дефолтные настройки Windows, позволяют делать много всякого, можно устанавливать любые приложения (да, они попросят «внести изменения на Вашем компьютере», без деталей), в том числе и без подписи

В той же MacOS нужно специально под админским паролем в настройках разрешить установку программ из неизвестных источников и еще при попытке установки чего-то не из AppStore тебе каждый раз напомнят, что это очень очень небезопасно

В Linux все сложнее, но если брать официальные репозитории, то там тоже есть GPG подпись

P.S. Не пытаюсь спорить, так как выбор ОС — дело сугубо религиозное, как и отношение к ИБ в конкретной ОС

Windows s тоже не позволит стрельнуть в ногу. Вообще это странная проблема пользователей с желанием заводить админские аккаунты и кликать «окей» на каждую хотелку системы. В случае с маком разница только в том, что обычно пользователи не скачивают супер-дупер полезные программы с черт пойми каких сайтов и что exe и rar.exe на маке не запускаются вообще, в остальном все тоже самое. Будет представлять Макос такой же интерес как и винда для вирусописателей — найдётся и в нем достаточное количество способов стреляная во все подряд. Желание пользователя посмотреть на халяву фильм и готовность ради этого скачивать сомнительный рар с сомнительного сайта и кликать «делай че хочешь, только фильм мне покажу» никуда не пропадут.


Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались (uwp с просьбой ввода пароля помогает).


IOS безопаснее по дизайну, покуда в нем приложения ни к чему доступа не имеют и проходят ревью, с этим сложно спорить. Но опять же — ставьте windows s и будет все тоже самое.


Да и снова. Была атака в каком-то отеле несколько лет назад, когда роутер перехватывал запрос на обновление флеш плеера и подсовывал заражённый. В маке он ровно с таким же успехом проникнет в систему с повышенными привилегиями и все (к слову, зачем они флеш плееру?)

Не знаю съест ли (ведь зараженный FP должен быть подписан сертификатом, которому Apple доверяет), но даже если съест и установит, у него должны быть привилегии:
image

Тоже самое с камерой, сетью и т.д.

То есть ну поставит малварь через флеш (хотя и в этом сомневаюсь, так как скажет, скорее всего, что приложение из недоверенного источника), но доступа к сети, камере и диску эта малварь не получит

Но в общем-то Вы правы, так как безопасность, это в большей степени ответственность пользователя, а любая современная ОС предоставляет средства защиты, плюс есть сторонние продукты, вроде антивирусов

Например в моей компании стоит сразу несколько рубежей защиты — и GlobalProtect, и Cisco AMP и банальный антивирус от Symantec, ну и плюс еще централизованный сбор логов о потенциально опасных действиях пользователя (установка ПО, например). То есть если я скачаю и установлю себе просто взломанное ПО, то это прямой путь к увольнению, так как отдел ИБ это заметит и даст по башке.

С таким подходом уже не важно, какая ОС (у нас примерно 60% винды, 30% маков и 10% линукс)
Например, я родителям создал обычную учётку и не сказал пароль от админской и что-то ни разу вирусню они не словили, хотя и пытались

Странно. Вирусу для работы в общем случае админская учётка не нужна, те же шифровальщики могут спокойно захавать все фотки ваших родителей и требовать свои бесчестно заработанные деньги.
Поздравляю, Вы сейчас открыли для себя MacOS X UWP.
Ограничивает приложение его «папкой», точнее изолирует приложение на уровне ОС, не позволяя ему видеть остальные приложения и данные пользователя
XCode, Visual Studio, Android Studio. Сколько они папок засирают при установке многочисленных сдк… Еще и другие программы умудряются запускать
Я из вашего предложения не понял — вы за меня или против?

Если за: ну так не только среды разработки засирают, но и любые приложения в принципе. Просто потому что могут. Об этом и разговор. Но зачем тогда цитировать отрывок про ограничения?

Если против: Интегрированные среды разработки просто обязаны быть в едином пакете "всё в одном". т.е. включать в себя все элементы которые необходимы для разработки. Просто по определению. И никакой доступ к данным пользователя ему не нужен для работы. Или я не прав?
Я привел пример, когда программы на MacOS(в том числе из AppStore) не ограниченны папкой и запускают друг друга.
Программа должна иметь возможность писать только в ту папку в которой она была запущена.

Возьмём, к примеру, файловый менеджер… Ой :)
Ставить файловый менеджер в корень диска?
DEL
написал глупость, забыв что времена android 4.0 прошли
Глядишь, поколений через 100 хомячки научатся бэкапы делать, и держать рабочие файлы синхронизируемыми с облаком (если облако правильное, это дает бонусом восстановление при удалении + версионирование), а левый софт проверять антивирусом и запускать в песочнице\вм.
С каких пор облако — синоним безопасности?
может, конечно, не синоним безопасности, но безопаснее или нет — это смотря с чем сравнивать. если с персональным ПК условного среднего пользователя, работающего из-под админа с отключенным UAC, антивирусом и кликающего «согласен», не читая, на любой вопрос, то я бы поставил на безопасность облака.
Глядишь, поколений через 100 люди научатся не обзывать других людей «хомячками». Хотя… чувство превосходства, оно такое сильное. Может и 200 поколений не хватит.
Дипломная.docx в гугл диск и можно не бояться
А потом окажется, что её пошифровал очередной криптолокер, и гугл диск просинхронизировал шифровку в облако.
если говорить конкретно о гугле — там можно откатить на предыдущую нешифрованную версию
Приложения андроид работают уровнем выше от програм Windows и запускаются в среде с сравнительно ограниченым количетсвом возможных доступов. Если взять виндовс и при установке расписать глубже какие позволения нужны програме, врятли рядовым юзерам будет ясно «Прогама просит доступы: изменять системный реєстр в розделе HKEY_LOCAL_MACHINE\SOFTWARE\...., читать параметр x102as сетевых дисков, работать на Nvidia CUDA core… и тд.»
Да екзешники могут делать что от них хотят те кто их создал.
НО готовые продукты идут с Лицензией в котой все доступы, возможности и последствия, а также ответственность за них очень подробно расписаны. Именно Она (та которой мы так мало посвящаем любви и внимания при установке) в андроиде и заменена на диалоговое окно разрешений.
Если Вам повезет и браузер похерит ваши даные то судебный процес с компанией которая не указала в License Agreement что может ваши данные похерить возместит потерю многократно)

Надо как на андроиде? Пользуйтесь лицензироваными копиями с магазина windows.
Надо анроид «секюрити» — Windows 10 S к вашым услугам. За счет приложений получите то что хотите.
А DrWeb ловит? Или его не проверяли?
Что ловит? Как писалось выше, уязвимости — не дело антивируса. Антивирус «ловит» вредоносные объекты, как правило, файлы и процессы.
dr. web не пропускает уязвимость или на нем не тестировалось?
Полагаю, пока никто не ловит.
Но инфа на 7 декабря, может за 4 дня чему-то антивирусы научили, хз
Кстати, написал в eset со ссылкой оригинальной статьи (у меня куплен eset). Отпишусь, что пришлют
Ответ от Eset:

Наши эксперты в курсе проблемы и работают над ее решением. На данный момент главное — установить обновление для вашей ОС Windows через Центр обновления.


Правда MS ничего на этот счёт вроде не писал, ставить всё подряд лишь бы установить всё, что есть к установке особого смысла не вижу.
В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.
Ну, молодцы же. Интересно, кто его зарепортил.
Поясните, пожалуйста. Цитата из первого абзаца статьи:
… уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код...
Это правда? Или только следы заметать научились?
Научились скорее их не оставлять. А так — уязвимость в процедуре создания процесса из файла, если в файле выполняются транзакционные изменения, которые потом отменяются. Код подсовываешь какой угодно, да.
Хм, я снова уточню на всякий случай.
Код подсовываешь какой угодно, да.
В той же мере, что и сейчас, только истории не останется, верно? Так скажем, эта фича никак не поможет вирусу, цель которого, например, украсть какой-нибудь файл единоразово, т. к. с ним важно только поймал или нет, а если он запустился, то уже поздно. Так?
В той же мере, что и сейчас, только истории не останется, верно?

Ну да, в принципе. Вот только есть такой подкласс вирусов — APT, им как раз эта техника очень поможет.

уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

То есть теперь вредоносный код запускается не роняя систему в «синий экран смерти»?
Ну… да, вместе с тем легитимным кодом, который из-за этого бага ронял винду в синий экран.

Катимся сами знаете куда? Статья про уязвимость без наличия какой-либо уязвимости имеет положительный рейтинг?

А что, транзакции в NTFS еще живы, что-ли? Их ввели в Висте, а в Win7 уже пометили, как deprecated — потому что разработчики фичу не оценили.
Действительно, транзакционная NTFS есть только в Виста+, каким образом уязвимости подвержена и ХР? либо где-то закралась ошибка, либо ХР приписали по привычке.
UPD: внизу таки говорят что это ошибка переводчика, проблема на Виста+.
В XP транзакции есть только у самой файловой системы, поэтому да, эта прекрасная ОС не подвержена данной уязвимости.
Что-то мне кажется, скоро на пару с этой уязвимостью появятся вирусы-шифраторы и криптомайнеры.
А ведь в будущем появятся вирусы считывающие свои исходники даже из чистоустановленного реестра. Во тогда админу уйдут ребут.
Очередной плевок в сторону суперинтеллектуальных эвристических алгобулшитмов
Из статьи ни чего не понял… А вот по коментам только то что M$ + AntiVirus это норма. M$ — AntiVirus это дырявое корыто
Надеюсь, мелкомягкие найдут способ запечатать эту дыру.

И чем этот способ лучше запуска малвари с памяти?!

Найдена уязвимость во всех версиях Windows

Открываем ссылку в первом абзаце
attack works on all modern versions of Microsoft Windows operating system, starting from Windows Vista to the latest version of Windows 10

Прошу прощения за неточность. Исправлено.

Заголовок энтэвэшный! Пугаете фразой "все версии Windows", а затем, "начиная с Windows XP".

Пользователи Windows 95 вздохнули спокойно?

И не только они (1.0—2000).

Можете попрще объяснить, для тормозов. Какова опасность?
Да… По сути в системе может запускаться заражённый файл и пока работает — рушить систему.
А что будет при перезагрузке компа?
Вирус по идее исчезнет как прошлогодний снег… Да даже если в Диспетчере задач в ручную закрыть запущенное непонятное приложение, ведь тоже получится что «вирус» испарится, а при новом запуске «зараженного-незараженного» файла откроется уже чистый файл… Или нет?
Если вирус пропишется в автозагрузку, то он сможет проделывать этот трюк при каждом включении компа.

Основная опасность с точки зрения статьи в том, что антивирусы не обнаруживают такой запуск вредоносного кода, так что даже давно известные вирусы/трояны, внесённые во все сигнатуры всех антивирусов, будут запущены без малейших препятствий. Само тело вируса может быть зашифровано, чтобы не обнаруживаться при проверке файлов. В обычном случае «запускателю» всё равно пришлось бы расшифровать/распаковать его, записать на диск и стартануть — вот тут-то антивирус и поймал бы запуск вредоносного файла. А если использовать описанный трюк, то запуск не будет отловлен (вернее, будет, но антивирус проверит не реально запущенный код, а какой-нибудь безобидный файл, не имеющий отношения к вирусу).
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.