悪い機能は、良いバグと区別するのが難しい場合があります。 ある意味では、バグよりもさらにひどい-彼らはそれを修正しません。 マイクロソフトは、ローカル管理者が任意のユーザーのセッションを傍受する素晴らしい可能性についてすでに6年前から認識しています。 待って、これは管理者です、彼は何でもできます! ただし、ここで何が間違っているのか見てみましょう。
それはすべて、研究者のアレクサンダー・コルズニコフが自分のブログに、誰かのセッションを傍受する機会を見つけたという投稿を投稿したという事実から始まりました。 彼はビデオのすべてを、わかりやすく、わかりやすく説明しました。 つまり、Windowsのtscon.exeユーティリティを使用すると、他のユーザーのセッションに接続できます。 機会はフルタイムです。 ユーザーのパスワードを知っている必要があります。 ただし、SYSTEMユーザーの下からtsconを起動すると、別のユーザーのパスワードは要求されなくなります! あなたはただ上司のような他の誰かのセッションに入ります。 ただし、このトリックを達成するには、psexecなどの追加の管理ユーティリティが必要です。つまり、このようなローカル管理者をインストールするのは難しくありません。
問題が根深いため、修正プログラムは少なくとも6か月待たなければならず、有名になるのを待つことができなかったため、悪用者は公開前にマイクロソフトに通知し始めませんでした。 しかし、彼は予想外に2011年から研究者のベンジャミン・デルピーが同じ問題について述べている投稿を見つけました。 マイクロソフトが長い間知っていることがわかりました。 ちなみに、会社の代表者は自発的にThreatpostジャーナリストに、「これには脆弱性はありません。悪用するには管理者権限が必要です」と確認しました。
みんなどう? 私がコンピューターのローカル管理者である場合、これはネットワーク全体を移動してそのすべての隠された場所を調べることができるという意味ではありません。 さらに、深刻な組織の実際のネットワークでは、WHO NEEDSがローカル管理者の下で機能することがよくあります。 そうでなければ、ビジネスに不可欠なソフトウェアが曲がって耕されているからです。 まあ、またはユーザーはシステム管理者の親友です。
そして、この貴重な従業員がメールから不快なものを拾った場合、攻撃者はドメイン管理者などのセッションを傍受できるようになり、停止できなくなります。 これは、組織に対する標的型攻撃の終末論的なシナリオです。
だから、部分的にマイクロソフトは正しい:はい、これは脆弱性ではありません。 これは、Windowsセキュリティモデルの大きな穴です。 ちなみに、私たちはこれと一緒に暮らしています。 デザートの場合-歓迎機能が提供されるバージョンのリスト:
-Windows 2016
-Windows 2012 R2
-Windows 2008
-Windows 10
-Windows 7。
中国チームは仮想マシンから脱出しました
タイトルは曖昧であることが判明しました-もちろん、中国人を仮想空間に閉じ込めた人はいません。テクニックはまだこの点
この悪用は、Microsoft Edgeのヒープオーバーフロー、Windowsカーネルの不正なタイプの混乱、およびVMwareのバッファー初期化エラーという3つのバグのチェーンに基づいて、潜行性のアジア人によって作成されました。 ちなみに、昨年、この指名は勝者なしで残され、その結果、賞金は75千ドルから10万ドルに成長しました。
散らばった中国人はもうやめられませんでした-彼らはAdobe FlashでAdobe Readerにハッキングし、MacOSで踏みつけ、特権を昇格する方法を開発しました。 その結果、男たちはMaster of Pwnの一等賞を受賞しました。 中国のハッカーの資格について突然冗談を言いたいなら、それについて考えてください。
HTTPS制御により、チャネルが安全でなくなる可能性があります
キャプテンエビデンスは再び無謀な助けになりました。 US-CERTは、HTTPSトラフィック調査ツールを使用するとチャネルのセキュリティが低下すると責任を持って述べたペーパーを発行しました。 E-hehe、これは私たちにとってなぜですか?
US-CERTメッセージは、実際にそのようなツールがネットワークで利用できる場合、ユーザーはサーバー証明書の有効性とチャネル暗号化の強度を制御できないことです。 HTTPSトラフィックを検査する鉄片は、「中間者」の位置に配置されます。 ユーザーは、このスパイデバイスの証明書とデバイス自体(サーバー証明書)を確認できます。 理論的には、回路は機能します。
実際には、HTTPS制御ツールは古く、構成が不十分である可能性があり、ユーザーは、自分のトラフィックが、たとえば脆弱なSSL3プロトコルを介して送信されているか、サーバー証明書が誰によって発行されたかがわからない場合があります。 これにより、ハッカーはまさに「中間者」となり、保護されていると思われるすべてのトラフィックを傍受する機会が生まれます。
US-CERTアラートの基礎となったこの研究の著者は、制御されたTLSチャネルの62%でセキュリティレベルが低下していることを発見しました。 ブランドの鉄に大量の米ドルを投じた人々全員に正気の光を送って、自分自身を無敵だと考えましょう。
古物
「香水」
居住者は非常に危険なウイルスであり、通常は.COMファイルに感染します(ウイルスの起動時にCOMMAND.COMが感染します)。 MCBブロック内の何も変更せずにTSRコピーを作成します。これにより、システムがフリーズする可能性があります。 ドライブAのランダムセクタを定期的に消去します。 すでに感染しているファイルに感染しようとする80回目の試行で、オペレーターと何らかの対話を開始します(テキストは私のウイルスサンプルで消去されます)。 int 21hをフックします。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 78ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。