Уязвимости Windows

mychatik

Support
Команда форума
Регистрация
26.05.15
Сообщения
526
Реакции
458
Баллы
63
В Windows 7-10 активно эксплуатируется 0day с удалённым исполнением кода.
Патча, на данный момент, ещё нет.


Во всех версиях Windows (7, 8.1, 10, Server 2008-2019) обнаружена критическая уязвимость, допускающая удалённое исполнение кода в полностью пропатченной системе. Microsoft вчера опубликовала предупреждение о безопасности ADV200006. Об уязвимости приходится сообщать до выпуска патча, потому что она уже активно эксплуатируется злоумышленниками. Пока её заметили только в «ограниченных целевых атаках», пишет Microsoft.
TL;DR:
  • Злоумышленники могут воспользоваться уязвимостью, встроив в документ шрифт Type 1 и убедив пользователей открыть его.
  • Уязвимость скрывается в библиотеке Windows Adobe Type Manager ATMFD.DLL (в последних версиях ATMLIB.DLL), которая работает на уровне ядра ещё со времён NT (далеко не первый баг в этой библиотеке).
  • Отключение службы Windows WebClient блокирует то, что Microsoft считает наиболее вероятным вектором удалённой атаки, а именно атаку через клиентскую службу Web Distributed Authoring and Versioning (WebDAV).
  • Локальные аутентифицированные пользователи могут запускать вредоносные программы с эксплуатацией уязвимости (эскалация привилегий).

В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».

Microsoft не сообщает, насколько успешно работают эксплоиты в упомянутых целевых атаках и что конкретно они делают, запускают ли полезную нагрузку или просто пытаются это сделать. Часто встроенная защита в Windows не позволяет эксплоитам работать так, как задумано. В сообщении также не упоминается о количестве и географическом расположении атак.

Пока патч не вышел, Microsoft предлагает использовать один или несколько обходных путей:

  1. Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).

    lcjuwv7ueunywxwm58we3kgh3mq.png


    Это не позволит проводнику автоматически отображать шрифты Type 1. Хотя такой способ предотвратит некоторые типы атак, но не помешает локальному аутентифицированному пользователю запустить специально созданную программу с эксплоитом.

  2. Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.

    hskl1zirnnekuqdvqlu03mpene8.png


    Это наиболее вероятный вектор атаки, по оценке Microsoft. Опять же, отключение службы не помешает локально запустить эксплоит.

  3. Переименовать ATMFD.DLL или, как вариант, исключить файл из реестра.

    Скрипт по переименованию файла (измените название на ATMLIB.DLL в Windows 10):
    Код:
    cd "%windir%\system32"
    takeown.exe /f atmfd.dll
    icacls.exe atmfd.dll /save atmfd.dll.acl
    icacls.exe atmfd.dll /grant Administrators:(F)
    rename atmfd.dll x-atmfd.dll
    cd "%windir%\syswow64"
    takeown.exe /f atmfd.dll
    icacls.exe atmfd.dll /save atmfd.dll.acl
    icacls.exe atmfd.dll /grant Administrators:(F)
    rename atmfd.dll x-atmfd.dll
Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.

Обычно фраза «ограниченные целевые атаки» означает операции по государственному заказу той или иной страны. Такие атаки зачастую ограничены не более чем десятком целей, что затрудняет их обнаружение. Но теперь после разглашения информации есть вероятность массовой эксплуатации уязвимости, так что есть смысл предусмотреть защитные меры, пока не вышел патч.

Библиотека ATMFD.DLL является частью ядра Windows со времён NT. Такое решение было принято, вероятно, для повышения производительности и улучшения стабильности по сравнению «адом библиотек» в Windows 3.11, которая постоянно вылетала с ошибками.

В Windows Vista графический стек начали постепенно выносить из ядра. Первым вынесли GDI, из-за чего в версии Windows Vista пропало аппаратное ускорение GDI. В Windows 7 аппаратное ускорение вернули, что потребовало частичного возвращения GDI в ядро. По причинам безопасности этот факт держался в секрете, но о нём стало известно после появления эксплоитов GDI.

Судя по всему, разработчики Windows понимают необходимость выноса графического стека из ядра. Процесс идёт в правильном направлении, хотя и медленно.

Взято отсюда
 

spy girl

Аксакал
Проверенный +++
Регистрация
04.09.14
Сообщения
509
Реакции
277
Баллы
63
Возраст
40

Эксперт обнаружил баг в Windows 10. Использование определенного пути в адресной строке браузера уводит систему в ВSOD​


BSOD.jpeg

По информации Bleeping Computer, эксперт Джонас Л. рассказал о баге при использовании определенного пути в адресной строке браузера, например, Chrome, во всех версиях Windows 10, начиная с 1709 и выше, включая 20H2. Если баг задействовать, то система завершит работу и выдаст BSOD. Запустить эту процедуру можно в один клик. Причем этот процесс доступен любому пользователю с пониженными привилегиями в системе, а не только администратору.
Команда для активации бага в строке браузера:
\\.\globalroot\device\condrv\kernelconnect
Bleeping Computer предупреждает, что проверять работоспособность бага на рабочей системе строго не рекомендуется. Для проверки его отработки лучше использовать виртуальную машину или тестовый ПК с Windows 10.

Эксперт Джонас Л. пояснил, что нашел этот баг еще в октябре прошлого года. Это часть специального пути для console multiplexer driver, который используется разработчиками и позволяет приложению напрямую взаимодействовать с физическим диском, минуя файловую систему в режимах «kernel / usermode ipc». При открытии этого неполного специального пути различными способами в системе даже из под пользователя с низким уровнем привилегий, происходит сбой Windows 10.

В полной версии этого пути при подключении к устройству в системе разработчики должны передавать в нем расширенный атрибут «attach» для организации правильной связи без ошибок в системе. Однако, если просто подключиться к этому пути без передачи атрибута, то, из-за неправильной проверки ошибки в ОС, этот процесс прерывается синим экраном смерти (BSOD) в Windows 10.

В Bleeping Computer проверили баг и подтвердили, что он вызывает BSOD в Windows 10, начиная с версии 1709 и выше. Можно ли использовать этот баг в его текущей форме, например, для удаленного выполнения кода или повышения привилегий, пока что непонятно. Как минимум этот баг могут использовать злоумышленники для проведения атаки типа «отказ в обслуживании».

Эксперт Джонас Л. поделился с BleepingComputer URL файлом Windows (.url) с настройкой, указывающей на путь
Код:
\\.\globalroot\device\condrv\kernelconnect
Когда этот файл загружен в системе, то Windows 10 попытается отобразить значок URL-файла с проблемным путем и автоматически уходит в BSOD.

В BleepingComputer также обнаружили, что этот баг можно использовать для автоматического увода ОС в BSOD при запуске Windows 10 или входе в систему.

Bleeping Computer связалась с Microsoft по этой проблеме. Компания не пояснила, когда она устранит эту ошибку.
 
Сверху Снизу