Пользователи Windows 10 оказались в опасности из-за уязвимости Doppelgänging

Несмотря на то, что Microsoft постоянно улучшает механизмы защиты Windows от вредоносных программ, время от времени в ней всё-таки обнаруживаются дыры безопасности. На этот раз опасность исходит от уязвимости Doppelgänging.

Ни для кого не секрет, что операционная система Windows 10 находится на втором месте по количеству троянов и вирусов, которые охотятся за учетными записями пользователей в различных сервисах. Хоть угроза нарваться на опасного зловреда и существовала всегда, однако практически всегда хотя бы один из антивирусов был способен обнаружить угрозу и ликвидировать ее. Windows является одним из самых сложных программных продуктов, поэтому предусмотреть всё просто невозможно. Об одной из таких уязвимостей стало известно вчера на конференции хакеров Black Hat 2017. Алгоритм Process Doppelgänging, использующий функцию Windows NTFS Transaction, позволяет внедрить в систему вредоносный код и на данный момент не обнаруживается ни одним антивирусом.

Что такое NTFS Transaction?

В Windows Vista разработчики Microsoft представили функцию NTFS Transanction, с помощью которой программы могли записывать какие-либо данные на жёсткий диск. Более ранние алгоритмы записи не давали гарантий полного вывода нужной информации. К примеру, если на диске обнаруживались повреждённые сектора, данные записывались лишь частично, что было не очень удобно для разработчиков ПО.

Всем известно, что обычная банковская транзакция не может пройти частично — деньги либо перечисляются полностью, либо вовсе не перечисляются. На этом же принципе построен и механизм NTFS Transaction — при его использовании система гарантирует, что все данные в полном объёме будут записаны на диск. NTFS Transaction работает следующим образом:

1. Windows записывает нужную информацию в отдельную область на диске и следит, чтобы операция прошла успешно.
2. Если всё получилось, система перемещает записанные файлы в указанную программой директорию с помощью ссылок.
3. Если операция записи закончилась неудачно, Windows пробует вывести информацию в другое место на диске.

На сегодняшний день механизм NTFS Transaction устарел. Microsoft не рекомендует разработчикам использовать NTFS Transaction и предупреждает, что эта функция может исчезнуть из будущих версий Windows.

Как работает Process Doppelgänging?

Хакеры обнаружили, что никакие антивирусные программы не следят за областью диска, куда системный механизм NTFS Transaction пробует записать данные. На этом наблюдении и основан алгоритм Process Doppelgänging:

1. Хакер запускает NTFS Trasnsaction в отношении какого-нибудь доверенного исполняемого файла.
2. В этот файл внедряется вредоносный код, который создаёт на диске область с файлами вируса.
3. NTFS Transaction искусственно прерывается, и Windows возвращает заражённый исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов.
4. Хакер запускает вирус с помощью устаревшего механизма времён Windows XP.

Как видим, алгоритм использует две устаревшие технологии, которые всё ещё встроены в Windows для обеспечения обратной совместимости.

Какие версии Windows уязвимы?

Главная особенность заключается в том, что его не может обнаружить ни один из существующих в мире антивирусов, то есть даже самый защищенный при помощи ПО пользователь не сможет понять, что его личные данные украли.

Антивирусы: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda, то есть самые известные и популярные в мире, не могут обнаружить какую-либо угрозу. Исходя из этого получается, что абсолютно все пользователи Windows 10 оказались в огромной опасности, поскольку зловред может находиться в оперативной памяти, а не постоянной, в результате чего его невозможно обнаружить.

Process Doppelgänging работает на всех версиях Windows, начиная с Vista. Интересно, что в Windows 10 Creators Update и Windows 10 Fall Creators Update существовал баг, из-за которого попытка запуска этого вируса заканчивалась «синим экраном смерти». Но разработчики Microsoft не зря получают зарплату: неполадка была успешно исправлена в одном из последних накопительных обновлений.

Хакеры не думают, что Microsoft бросится как-либо патчить данную дыру. NTFS Transaction используется достаточно старым софтом, так что какие-либо изменения в этом механизме могут привести к проблемам совместимости. Программисты считают, что сейчас дело за антивирусным ПО, которое должно научиться обнаруживать подобные атаки.

Отмечается, что специальные программы, использующие хакерский метод Process Doppelganging, могут подменять настоящие приложения или окна браузера. Это значит, что если вдруг пользователь захочет, например, войти в свою учетную запись в аккаунте интернет-банкинга или социальной сети, то зловред может подменить окно вредоносным, после чего в руки его создателей попадет засекреченная информация, включающая в себя логин и пароль. К сожалению, защититься от нового способа кражи личной информации пока что невозможно.