Несмотря на то, что Microsoft постоянно улучшает механизмы защиты Windows от вредоносных программ, время от времени в ней всё-таки обнаруживаются дыры безопасности. На этот раз опасность исходит от уязвимости Doppelgänging.
Ни для кого не секрет, что операционная система Windows 10 находится на втором месте по количеству троянов и вирусов, которые охотятся за учетными записями пользователей в различных сервисах. Хоть угроза нарваться на опасного зловреда и существовала всегда, однако практически всегда хотя бы один из антивирусов был способен обнаружить угрозу и ликвидировать ее. Windows является одним из самых сложных программных продуктов, поэтому предусмотреть всё просто невозможно. Об одной из таких уязвимостей стало известно вчера на конференции хакеров Black Hat 2017. Алгоритм Process Doppelgänging, использующий функцию Windows NTFS Transaction, позволяет внедрить в систему вредоносный код и на данный момент не обнаруживается ни одним антивирусом.
В Windows Vista разработчики Microsoft представили функцию NTFS Transanction, с помощью которой программы могли записывать какие-либо данные на жёсткий диск. Более ранние алгоритмы записи не давали гарантий полного вывода нужной информации. К примеру, если на диске обнаруживались повреждённые сектора, данные записывались лишь частично, что было не очень удобно для разработчиков ПО.
Всем известно, что обычная банковская транзакция не может пройти частично — деньги либо перечисляются полностью, либо вовсе не перечисляются. На этом же принципе построен и механизм NTFS Transaction — при его использовании система гарантирует, что все данные в полном объёме будут записаны на диск. NTFS Transaction работает следующим образом:
На сегодняшний день механизм NTFS Transaction устарел. Microsoft не рекомендует разработчикам использовать NTFS Transaction и предупреждает, что эта функция может исчезнуть из будущих версий Windows.
Хакеры обнаружили, что никакие антивирусные программы не следят за областью диска, куда системный механизм NTFS Transaction пробует записать данные. На этом наблюдении и основан алгоритм Process Doppelgänging:
Как видим, алгоритм использует две устаревшие технологии, которые всё ещё встроены в Windows для обеспечения обратной совместимости.
Главная особенность заключается в том, что его не может обнаружить ни один из существующих в мире антивирусов, то есть даже самый защищенный при помощи ПО пользователь не сможет понять, что его личные данные украли.
Антивирусы: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda, то есть самые известные и популярные в мире, не могут обнаружить какую-либо угрозу. Исходя из этого получается, что абсолютно все пользователи Windows 10 оказались в огромной опасности, поскольку зловред может находиться в оперативной памяти, а не постоянной, в результате чего его невозможно обнаружить.
Process Doppelgänging работает на всех версиях Windows, начиная с Vista. Интересно, что в Windows 10 Creators Update и Windows 10 Fall Creators Update существовал баг, из-за которого попытка запуска этого вируса заканчивалась «синим экраном смерти». Но разработчики Microsoft не зря получают зарплату: неполадка была успешно исправлена в одном из последних накопительных обновлений.
Хакеры не думают, что Microsoft бросится как-либо патчить данную дыру. NTFS Transaction используется достаточно старым софтом, так что какие-либо изменения в этом механизме могут привести к проблемам совместимости. Программисты считают, что сейчас дело за антивирусным ПО, которое должно научиться обнаруживать подобные атаки.
Отмечается, что специальные программы, использующие хакерский метод Process Doppelganging, могут подменять настоящие приложения или окна браузера. Это значит, что если вдруг пользователь захочет, например, войти в свою учетную запись в аккаунте интернет-банкинга или социальной сети, то зловред может подменить окно вредоносным, после чего в руки его создателей попадет засекреченная информация, включающая в себя логин и пароль. К сожалению, защититься от нового способа кражи личной информации пока что невозможно.
Рассматривая различные кухонные приборы, предлагаем узнать, как выбрать мультипечь, ведь это многофункциональная и удобная бытовая техника. Используя ее, вы сможете…
Как заряжать электросамокат — вопрос, с которым нужно разобраться сразу после покупки, чтобы в дальнейшем эффективно использовать популярное транспортное средство.…
Вопрос о том, какой электросамокат купить, актуален для людей, которые живут в больших городах. Маневренность, экологичность, простое управление, компактность -…
Флагманские и бюджетные, для игр, работы и учебы — разнообразие планшетов велико, а пользователи часто не понимают, какой планшет лучше…
Вопрос, какой планшет лучше купить для ребенка, возникает почти у всех родителей. Маленькие пальчики уже уверенно листают страницы электронных книг,…
Как выбрать планшет среди сотен моделей на полках магазинов и не растеряться в технических характеристиках? Этот вопрос возникает почти у…