Всего пара уловок откроет хакерам полный доступ к вашей файловой системе.
На конференции DEF CON эксперт по кибербезопасности Даниэль Авиноам Для просмотра ссылки Войдиили Зарегистрируйся своего исследования, согласно которым злоумышленники могут воспользоваться уязвимостью в архитектуре контейнеров Windows для обхода защиты конечных точек.
В основе техники лежит использование заготовленных контейнеров Windows, содержащих так называемые «файлы-призраки», которые не хранят реальных данных, но указывают на другой том в системе. Ничего также не получилось бы без драйвера Windows Container Isolation FS (wcifs.sys), который отвечает за разделение файловых систем между виртуальными контейнерами и хостом.
Идея, в двух словах, заключается в том, чтобы запустить определённый системный процесс внутри заготовленного контейнера и использовать вышеупомянутый драйвер для обработки запросов ввода-вывода таким образом, чтобы он мог создавать, читать, записывать и удалять элементы файловой системы без предупреждения программного обеспечения безопасности.
Из недостатков техники для потенциального злоумышленника можно выделить обязательное наличие прав администратора для взаимодействия с драйвером wcifs.sys. Кроме того, техника не позволяет переопределить файлы на хост-системе.
Ранее компания Deep Instinct Для просмотра ссылки Войдиили Зарегистрируйся похожий метод обхода защиты, основанный на злоупотреблении возможностями Windows Filtering Platform. В ходе этой атаки злоумышленник может получить права SYSTEM и выполнить вредоносный код.
Уязвимости в архитектуре операционных систем всё чаще используются для обхода обнаружения вредоносных программ. Компаниям необходимо тщательно следить за последними наработками как честных исследователей, так и реальных злоумышленников, чтобы своевременно обновлять средства защиты и делать свои системы безопаснее.
На конференции DEF CON эксперт по кибербезопасности Даниэль Авиноам Для просмотра ссылки Войди
В основе техники лежит использование заготовленных контейнеров Windows, содержащих так называемые «файлы-призраки», которые не хранят реальных данных, но указывают на другой том в системе. Ничего также не получилось бы без драйвера Windows Container Isolation FS (wcifs.sys), который отвечает за разделение файловых систем между виртуальными контейнерами и хостом.
Идея, в двух словах, заключается в том, чтобы запустить определённый системный процесс внутри заготовленного контейнера и использовать вышеупомянутый драйвер для обработки запросов ввода-вывода таким образом, чтобы он мог создавать, читать, записывать и удалять элементы файловой системы без предупреждения программного обеспечения безопасности.
Из недостатков техники для потенциального злоумышленника можно выделить обязательное наличие прав администратора для взаимодействия с драйвером wcifs.sys. Кроме того, техника не позволяет переопределить файлы на хост-системе.
Ранее компания Deep Instinct Для просмотра ссылки Войди
Уязвимости в архитектуре операционных систем всё чаще используются для обхода обнаружения вредоносных программ. Компаниям необходимо тщательно следить за последними наработками как честных исследователей, так и реальных злоумышленников, чтобы своевременно обновлять средства защиты и делать свои системы безопаснее.
- Источник новости
- www.securitylab.ru