Автор Тема: Сбой в ядре Windows позволяет обойти пользовательский контроль  (Прочитано 3595 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8733
  • Рейтинг: 86
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Новая уязвимость нулевого дня обнаружена в Windows (по данным компании BitDefender). Она использует файл win32k.sys (критический компонент ядра Windows) и бросает серьезный вызов всему сообществу ИТ-безопасности. В результате переполнения буфера в файле ядра появляется возможность обойти Контроль учетных записей Vista и Windows 7.
Непосредственно атаке подвергается RtlQueryRegistryValues API, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.
Демонстрация работы эксплойта и успешного обхода системы контроля учетных записей была в течение нескольких часов проведена в Интернете на одном из чрезвычайно популярных программистских веб-сайтов. Она включала публикацию пошагового руководства, а также исполняемых файлов и исходного кода.
Обновление для блокировки этой уязвимости еще не выпущено, поэтому есть все основания полагать, что она будет использована вирусописателями для производства новых модификаций вирусов. В данный момент мы работаем над созданием механизма базовой защиты, который сможет блокировать несанкционированный доступ к ядру.

http://www.cio-world.ru/it-news/579468/

Онлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6408
  • Рейтинг: 57
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
В данный момент мы работаем над созданием механизма базовой защиты
Кто "мы"? =)
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8733
  • Рейтинг: 86
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Кстати, некоторые антивирусы эксплоит этой дырки успешно детектят, как зловреда

Так, что антивирус не настолько бесполезен, как это пытается представить WindowsNT.LV ;)

ЗЫ Ждем-с заплатку ;)
« Последнее редактирование: 01 Декабря 2010, 23:39:29 от shs »

Оффлайн amin

  • Начинающий
  • *
  • Сообщений: 13
  • Рейтинг: 0
  • Пол: Мужской
  • [0xA79D7E9F]
    • Просмотр профиля
Так, что антивирус не настолько бесполезен, как это пытается представить WindowsNT.LV ;)
Вспомнилось в тему: видел машинку, на которой не стояли анти-кидошные  патчи, зато стоял  DrWeb, который этого кидо палил. ДрВеб не давал вирусу записать тело на вставляемую флешку, но спасти машину от заражения при сетевой атаке не мог никак.
И одно дело обнаружить файл вируса в тихо-мирно лежащем файле, и совсем другое - сдержать атаку вредоносного кода, прошибившего драйвер ОС.
Кроме того, сейчас вирусы так часто обновляются, что антивирус в большинстве случаев - и вправду малополезная обуза.
PGP_id: 0xA79D7E9F

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Кроме того, сейчас вирусы так часто обновляются, что антивирус в большинстве случаев - и вправду малополезная обуза.
Если вы обратили внимание, то речь идет о zero day уязвимости, от которой пока еще нет патча. Надеятся только на антивирус или полностью отказываться от применения антивруса -  одинаково неправильный подход, IMHO.