seoreviews.ru@gmail.com

 

Заказать аудит
ТОП-3 SEO-компаний
1. Digital Rocket
2. Корпорация РБС
3. Оптимизм
Выберите компанию
Ingate Авентон Demis Group Russian Promo СЕО-Импульс A-POSITION Green Promo Клик Intelsib 1st SEO EnerGy TRINET Magic Trust Group SEO.RU ALTWeb Group Webit Apollo-8 Darvin Studio Idea-promotion Эдмаркет Промо Пейдж VIPRO РАСКРУТКА.РУ Webexpert ТриЛан ПерфектСЕО i-Media UnMedia Группа компаний MegaSeo Advans Shogo ARTOX media SEOXL ООО "Экса Медиа" Голден студио ORIDIS Клюква Веб-студия Bitrixlab BRAND-MAKER Time Digital PromoRu kSeo Dial Semantica Seo Update Кислород MarketArts Aida Media Зекслер Эвристика Feel In iSEO ADVER MEDIA Олимп АдвертПро Creative SEO Promo Digital Group ВеоМедиа Агентство системных интернет решений Wezom Cleverteam IT PLANET GROUP Lime.media SEOLABPro Атом Медиа Групп Gatto - интернет-маркетинг NewGlobal Компания "ИДЕЯ!" Альфа.Сайт Синица IndexTop1 Тактика Seo-house Rocket Business Limtek Liqium Студия интернет-решений ELiTES Орех
Ваша заявка отправлена, спасибо!
×
Главная / Новости рынка / Обнаружен способ захватить Windows при помощи лишнего пробела

Обнаружен способ захватить Windows при помощи лишнего пробела

Эксперт по информационной безопасности компании Tenable Дэвид Уэллс обнаружил способ обойти функцию контроля учетных записей в Windows (UAC).

UAC – это компонент Windows, запрашивающий подтверждение действий, требующих прав администратора, чтобы защитить компьютер от несанкционированного использования. Компонент ограничивает привилегии той или иной программы на уровне рядового пользователя до тех пор, пока администратор не позволит повысить привилегии.

У некоторых программ есть возможность автоматически повысить свои привилегии. Windows, чтобы предотвратить инциденты, проводит серию автоматических проверок, позволяя автоматически повышать привилегии только группе доверенных программ. У таких программ должна быть надлежащая цифровая подпись, гарантирующая подлинность. Помимо этого, они должны запускаться из проверенной папки, например, C:WindowsSystem32.

Уэллс выяснил, что собственная система идентификации приложений Windows – appinfo.dll – использует для проверки API RtlPrefixUnicodeString д, начинается ли путь запускаемого приложения с C:WindowsSystem32. Специалист создал папку с названием C:Windows (с пробелом после Windows). Стоит отметить, что просто так добавить пробел не получится – система не допустит такого названия. Кроме того, оно не пройдет проверку tlPrefixUnicodeString. Но при помощи API CreateDirectory, с добавлением последовательности символов \? к началу удалось создать папку с некорректным названием, организовав внутри нее каталог System32 (C:Windows System32).

Уэллс скопировал в папку файл winSAT.exe – доверенное приложение, у которого есть разрешение на автоматическое повышение привилегий. После этого обнаружилось, что appinfo.dll конвертирует путь C:Windows System32winSAT.exe в обычный C:WindowsSystem32winSAT.exe, и UAC, не реагируя на существование несанкционированного пробела. Все дополнительные проверки в дальнейшем пропускают путь с пробелом, а копия winSAT.exe, располагающаяся в некорректной папке, получает от appinfo.dll повышенные привилегии.

После этого специалисту удалось поместить в папку C:Windows System32 фальшивый файл WINMM.dll, содержащий вредоносный код.

Напомним, недавно представители исследовательской компании Cymulate обнаружили новый способ заражения компьютеров.

Источник: cnews

Источник: seonews.ru

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>