A Windows 10 null karakterhiba rejti a rosszindulatú programokat a biztonsági ellenőrző eszközökkel szemben

A Microsoft zöld fényt ad az erősebb Windows biztonságra. A TechRepublic Brandon Vigliarolo magyarázza a Microsoft egyedülálló módszerét, amellyel figyelmeztetheti a Windows-felhasználókat az operációs rendszer kritikus megsértéseiről.
Csúszdalap, hangmagasság vagy prezentáció építése? Itt vannak a nagy elvihetők:
  • A Windows 10 rosszindulatú programok ellenőrző felületét, amely kezeli az alkalmazásokon belüli rosszindulatú programok ellenőrzési kérelmeit, úgy találták, hogy csonkolják a fájlokat, amikor egy null karaktert elolvastak, és a kódsorokat nem ellenőrizték.
  • A februári Windows 10 biztonsági javítás javítja a kihasználást, és azonnal telepíteni kell.

A Windows 10 rosszindulatú programok ellenőrző felülete (AMSI) csonkolja a fájlokat, amikor egy null karaktert észlel, és a rosszindulatú kódot a szkennelés után is tartalmazza.

További információ a kiberbiztonságról

  • Kiberbiztonság 2020-ban: Nyolc félelmetes előrejelzés
  • Az évtized tíz legfontosabb cyberatása
  • Hogyan válhat kiberbiztonsági profivá: A csaló lap
  • Frank Abagnale híres embere: Ma a bűncselekmény 4000-szer könnyebb

Az ASMI hibáját Satoshi Tanda biztonsági kutató fedezte fel, aki ezt egy február 16-i blogbejegyzésben fedezte fel. A Microsoft kijavította a hibát februári biztonsági frissítésében, ezért Tanda publikálta darabját, amelyben részletezte ennek a súlyos biztonsági hibának a részleteit.

Nem ismeretes, hogy ezt a Windows 10 AMSI kihasználást tényleges támadók használják-e, ám mostantól a nyilvánosság ismertté válásával minden bizonnyal megkísérelhető. A javításhoz már elérhető javítással mindenki, aki áldozatul esik, ugyanabban a hajóban tartózkodik, mint más magas szintű kibertámadások áldozatai; vagyis bűntudat a Windows 10 alapvető biztonsági frissítéseinek telepítéséért.

Az AMSI anatómiája

Ha nem ismeri az AMSI működését, ez érthető - ez egy elsősorban láthatatlan háttérfolyamat, amely átvált a víruskereső szoftverek és a Windows alkalmazások között.

Ha egy alkalmazásnak bármilyen fájlt be kell szkennelnie, akkor a gazdagépen futó víruskereső platformra támaszkodik. Az alkalmazások alapértelmezés szerint nem tudnak beszélni a víruskereső alkalmazásokkal, de beszélhetnek az AMSI-vel, az AMSI pedig a legtöbb víruskereső szoftverrel.

Az AMSI az AV alkalmazás szkennelésének legalább egy részét kezeli, amellyel az interfész kapcsolódik, és itt rejlik a Tanda által felfedezett probléma: Az AMSI egyszerűen leállítja a szkennelést, amikor egy null karakterre kerül, amely bármilyen karakter lehet, minden bitjével nullára állítva.

A null karakter után elrejtett bármilyen rosszindulatú kód egyszerűen letapogathatatlanná válik, lehetővé téve az észlelés nélküli biztonságos végrehajtását.

Lehet, hogy ez nem tűnik komoly kérdésnek - elvégre is, a rosszindulatú programok ellenőrzése folyamatosan az AMSI kontextusán kívül történik, így a kód minden bizonnyal meg fog történni. Amint a Bleeping Computer rámutat, nem feltétlenül ez a helyzet, mivel a Microsoft az AMSI-t úgy tervezte, hogy megfogja azokat a dolgokat, amelyeket a definíciós AV-szoftverek gyakran hiányoznak.

Az AMSI, a Bleeping Computer Catalin Cimpanu elmondása szerint "ellenőrizze a futás közben meghívott szkripteket, például a PowerShell, a VBScript, a Ruby és mások". A parancsfájlok a rosszindulatú programok elterjedésének általános módja a víruskeresõkkel szemben. Bármi, ami megkönnyíti a támadók ezt, hasonlóan ehhez a hibához, azonnali intézkedést igényel.

A Microsoft legfrissebb biztonsági frissítései lezárják ezt a helyet, de ez nem jelenti azt, hogy a támadók nem próbálják kihasználni azt. A WannaCry, Petya és más, 2017 óta elterjedt cyberatámák a nem terjedő rendszerekre támaszkodtak.

Nincs ok feltételezni, hogy a támadók nem fognak támaszkodni az emberi hibákra a rosszindulatú programok elterjesztésében, tehát legyen biztonságos: Telepítse a február Windows 10 biztonsági frissítéseit, az ASAP-t.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

Lásd még

  • IT pro útmutató a hatékony javításkezeléshez (ingyenes PDF) (TechRepublic)
  • Windows 10 biztonság: A Google feltárja, hogy a rosszindulatú webhelyek hogyan használhatják ki a Microsoft Edge (ZDNet)
  • Windows biztonság: Az új Microsoft irányítópult a PC-ket veszélyezteti a Meltdown-Specter (TechRepublic) által
  • Windows biztonság: A Microsoft kiadja az Adobe javítócsomagot a Flash zero-day (ZDNet) kezelésére
  • 7 Windows 10 biztonsági szolgáltatás, amely segíthet megakadályozni a vállalkozással szembeni támadásokat (TechRepublic)
Kép: iStock / RGBAlpha

© Copyright 2020 | mobilegn.com