Добавить в корзинуПозвонить
Найти в Дзене
Новости науки и техники

В безопасности Windows много лет есть «дыра» для китайских хакеров, но Microsoft ее не заделывает

1
1 мин
Корпорация Microsoft частично устранила существенную уязвимость в Windows, позволявшую злоумышленникам подгружать вредоносные драйверы ядра в скомпрометированные системы. Проблему активно эксплуатировали китайские хакеры. Однако, по информации издания Bleeping Computer, Microsoft не хочет решать проблему кардинально. Драйверы ядра функционируют с максимальными привилегиями (Ring 0), что в случае злонамеренного их использования обеспечивает полный доступ к целевой системе, возможность долго сохранять в ней незаметное присутствие, выводить данные, исключая обнаружение, и блокировать почти любой процесс. Защитные средства уровня операционной системы не помогут: драйвер ядра способен вмешиваться в их функционирование и нейтрализовать наиболее продвинутые средства защиты. Или даже перенастраивать их, чтобы оставаться невидимым. С выходом Windows Vista Microsoft внесла ряд изменений в политику загрузки драйверов ядра в операционную систему. В частности, разработчиков обязали представлять сво

Корпорация Microsoft частично устранила существенную уязвимость в Windows, позволявшую злоумышленникам подгружать вредоносные драйверы ядра в скомпрометированные системы. Проблему активно эксплуатировали китайские хакеры. Однако, по информации издания Bleeping Computer, Microsoft не хочет решать проблему кардинально.

Драйверы ядра функционируют с максимальными привилегиями (Ring 0), что в случае злонамеренного их использования обеспечивает полный доступ к целевой системе, возможность долго сохранять в ней незаметное присутствие, выводить данные, исключая обнаружение, и блокировать почти любой процесс.

Защитные средства уровня операционной системы не помогут: драйвер ядра способен вмешиваться в их функционирование и нейтрализовать наиболее продвинутые средства защиты. Или даже перенастраивать их, чтобы оставаться невидимым.

С выходом Windows Vista Microsoft внесла ряд изменений в политику загрузки драйверов ядра в операционную систему. В частности, разработчиков обязали представлять свои драйверы на экспертизу и обеспечивать цифровую подпись через портал разработок.

Однако, чтобы избежать проблем со старыми приложениями, Microsoft представила ряд исключений.

Старые драйверы ядра могли быть загружены в операционную систему, если она была обновлена до Windows 10 версии 1607 с более старой, если в BIOS отключена опция безопасной загрузки (Secure Boot) и если драйверы были подписаны сертификатом конечного объекта, выпущенным до 29 июля 2015 г., который связан с поддерживаемым центром сертификации с перекрестной подписью.

Именно третье исключение стало той самой уязвимой точкой, которую стали эксплуатировать китайские кибершпионы.

По данным компании Cisco Talos, хакеры также использовали два опенсорсных инструмента — HookSignTool и FuckCertVerify, чтобы подменять дату получения электронной подписи — якобы до 29 июля 2015 г.

Это позволило злоумышленникам использовать устаревшие, утекшие и не отозванные сертификаты, чтобы подписывать свои вредоносные драйверы и подгружать их в Windows, чтобы получить максимальные привилегии.

Microsoft уже отозвала все поддельные сертификаты и заблокировала аккаунты разработчиков, которые использовали лазейку с политикой Windows.

При этом индекс CVE назначен не был, поскольку в Microsoft не считают, что это уязвимость, отмечает Bleeping Computer.