Незважаючи на те, що Microsoft постійно покращує механізми захисту Windows від шкідливих програм, час від часу в ній таки виявляються діри безпеки. На цей раз небезпека виходить від уразливості Doppelgänging.
Ні для кого не секрет, що операційна система Windows 10 знаходиться на другому місці за кількістю троянів і вірусів, які полюють за обліковими записами користувачів у різних сервісах. Хоча загроза нарватися на небезпечного шкідника й існувала завжди, втім практично завжди хоча б один з антивірусів був здатний виявити загрозу і ліквідувати її. Windows є одним з найскладніших програмних продуктів, тому передбачити усе просто неможливо. Про одну з таких вразливостей стало відомо учора на конференції хакерів Black Hat 2017. Алгоритм Process Doppelgänging, що використовує функцію Windows NTFS Transaction, дозволяє впровадити в систему шкідливий код і на даний момент не виявляється жодним антивірусом.
Що таке NTFS Transaction?
У Windows Vista розробники Microsoft представили функцію NTFS Transanction, за допомогою якої програми могли записувати будь-які дані на жорсткий диск. Більш ранні алгоритми запису не давали гарантій повного виведення потрібної інформації. Наприклад, якщо на диску виявлялися пошкоджені сектори, дані записувалися лише частково, що було не дуже зручно для розробників ПЗ.
Усім відомо, що звичайна банківська транзакція не може пройти частково – гроші або перераховуються повністю, або зовсім не перераховуються. На цьому ж принципі побудований і механізм NTFS Transaction – при його використанні система гарантує, що усі дані в повному обсязі будуть записані на диск. NTFS Transaction працює наступним чином:
- Windows записує потрібну інформацію в окрему область на диску і стежить, щоб операція пройшла успішно.
- Якщо усе вийшло, система переміщує записані файли до вказаної програмою директорії за допомогою посилань.
- Якщо операція запису закінчилася невдало, Windows намагається вивести інформацію в інше місце на диску.
- На сьогоднішній день механізм NTFS Transaction застарів. Microsoft не рекомендує розробникам використовувати NTFS Transaction і попереджає, що ця функція може зникнути з майбутніх версій Windows.
Як працює Process Doppelgänging?
Хакери виявили, що ніякі антивірусні програми не стежать за областю диска, куди системний механізм NTFS Transaction пробує записати дані. На цьому спостереженні і заснований алгоритм Process Doppelgänging:
- Хакер запускає NTFS Trasnsaction щодо якогось довіреного виконуваного файлу.
- У цей файл впроваджується шкідливий код, який створює на диску область з файлами вірусу.
NTFS Transaction штучно переривається, і Windows повертає заражений виконуваний файл в його попередній стан, видаляючи всі згадки про вірус. При цьому область на диску, створена вірусом, залишається, до того ж фактично вона невидима для будь-яких антивірусів. - Хакер запускає вірус за допомогою застарілого механізму часів Windows XP.
Як бачимо, алгоритм використовує дві застарілі технології, які усе ще вбудовані у Windows для забезпечення зворотної сумісності.
Які версії Windows уразливі?
Головна особливість полягає в тому, що його не може виявити жоден з існуючих у світі антивірусів, тобто навіть самий захищений за допомогою ПЗ користувач не зможе зрозуміти, що його особисті дані вкрали.
Антивіруси: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast та Panda, тобто найвідоміші й популярні у світі, не можуть виявити будь-яку загрозу. Виходячи з цього маємо, що абсолютно усі користувачі Windows 10 виявилися у величезній небезпеці, оскільки шкідник може перебувати в оперативній пам’яті, а не постійній, у результаті чого його неможливо виявити.
Process Doppelgänging працює на усіх версіях Windows, починаючи з Vista. Цікаво, що у Windows 10 Creators Update та Windows 10 Fall Creators Update існував баг, через якого спроба запуску цього вірусу закінчувалася “синім екраном смерті”. Але розробники Microsoft не дарма отримують зарплату: неполаднання було успішно виправлено в одному з останніх накопичувальних оновлень.
Хакери не думають, що Microsoft кинеться будь-яким чином патчити дану дірку. NTFS Transaction використовується досить старим софтом, тому будь-які зміни в цьому механізмі можуть привести до проблем сумісності. Програмісти вважають, що зараз справа за антивірусним ПЗ, яке має навчитися виявляти подібні атаки.
Відзначається, що спеціальні програми, які використовують хакерський метод Process Doppelganging, можуть підміняти справжні застосунки або вікна браузера. Це означає, що якщо раптом користувач захоче, наприклад, увійти до свого облікового запису в акаунті інтернет-банкінгу або соціальної мережі, то шкідник може підмінити вікно шкідливим, після чого до рук його творців потрапить засекречена інформація, що включає в себе логін і пароль. На жаль, захиститися від нового способу крадіжки особистої інформації поки що неможливо.
