Jak radośnie oznajmiło dziś na Black Hat 2017 enSilo, znaleziono nową metodę wstrzyknięcia kodu... czyli zrobienia z maszyną ofiary co dusza zapragnie.
Problem polega na tym, że wektorem ataku (nie zgałebiając się zbytnio w techniczne szczegóły) jest wszysty w NTFS Transactions WSZYSTKICH Windowsów od 7 do 10.
Metoda ataku polega na wstrzyknięciu kodu z wykorzystaniem dwóch ... nie, nie podatności, a mechanizmów (podatność to znaleziona dziura. Mechanizm to coś, co zapewnia poprawne działanie usługi) NTFS Transactions z wykorzystaniem nieudokumentowanych metod implementacji zmiany pliku wykonywalnego. Problem w tym, że plik na dysku pozostaje niezmieniony, więc ŻADEN klasyczny antywirus nie podniesie alarmu. Co więcej, Volatility (jak ktoś nie wie co to:
Z listy tych co się poddali, można przytoczyć: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, oraz Panda.
Teraz dwie wiadomości, jedna mniej zła, druga... no coż...
Ta mniej zła to taka, że losowy Brajanek potencjalnie nie zdoła opracować pracującego exploita, bo musiałby mieć naprawde dobrą znajomość nieudokumentowanych właściwości tworzenia procesów.
Ta gorsza to taka że patch w tym przypadku będzie dość trudny... oddaję głos znalazcom podatności: "cannot be patched since it exploits fundamental features and the core design of the process loading mechanism in Windows."
Tyle znalazcy. Ja ze swojej strony dodam, że dla mnie ta ";epsza" wiadomośc jest bez znaczenia, bo jak znam życie za jakiś czas na DarkWebie pojawi się na sprzedaż jakiś metasploit zawierający toola do głupoodpornej metody budowania narzędzi ataku, to raz.
Dwa, że może ja paranoik jestem, ale dla mnie to wygłada że znaleziono złote runo właśnie, czyli... zaszytego w Windowsy backdoora umożłiwiającgo robienie z maszynką co się chce bez przeszkadzania jej użytkownikowi... a Panowie z NSA siedzą i zawijają te Dopplegangery....
P.S. Technikalia pomijam, zresztą jeszcze ich formalnie nie opublikowano, bo to materiał z dzisiejszej, jeszcze ciepłej prezentacji. Za parę dni na pewno pojawi się na stronie Black Hat 2017, zainteresowanym polecam obserwację:
Problem polega na tym, że wektorem ataku (nie zgałebiając się zbytnio w techniczne szczegóły) jest wszysty w NTFS Transactions WSZYSTKICH Windowsów od 7 do 10.
Metoda ataku polega na wstrzyknięciu kodu z wykorzystaniem dwóch ... nie, nie podatności, a mechanizmów (podatność to znaleziona dziura. Mechanizm to coś, co zapewnia poprawne działanie usługi) NTFS Transactions z wykorzystaniem nieudokumentowanych metod implementacji zmiany pliku wykonywalnego. Problem w tym, że plik na dysku pozostaje niezmieniony, więc ŻADEN klasyczny antywirus nie podniesie alarmu. Co więcej, Volatility (jak ktoś nie wie co to:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
) też się poddało.Z listy tych co się poddali, można przytoczyć: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, oraz Panda.
Teraz dwie wiadomości, jedna mniej zła, druga... no coż...
Ta mniej zła to taka, że losowy Brajanek potencjalnie nie zdoła opracować pracującego exploita, bo musiałby mieć naprawde dobrą znajomość nieudokumentowanych właściwości tworzenia procesów.
Ta gorsza to taka że patch w tym przypadku będzie dość trudny... oddaję głos znalazcom podatności: "cannot be patched since it exploits fundamental features and the core design of the process loading mechanism in Windows."
Tyle znalazcy. Ja ze swojej strony dodam, że dla mnie ta ";epsza" wiadomośc jest bez znaczenia, bo jak znam życie za jakiś czas na DarkWebie pojawi się na sprzedaż jakiś metasploit zawierający toola do głupoodpornej metody budowania narzędzi ataku, to raz.
Dwa, że może ja paranoik jestem, ale dla mnie to wygłada że znaleziono złote runo właśnie, czyli... zaszytego w Windowsy backdoora umożłiwiającgo robienie z maszynką co się chce bez przeszkadzania jej użytkownikowi... a Panowie z NSA siedzą i zawijają te Dopplegangery....
P.S. Technikalia pomijam, zresztą jeszcze ich formalnie nie opublikowano, bo to materiał z dzisiejszej, jeszcze ciepłej prezentacji. Za parę dni na pewno pojawi się na stronie Black Hat 2017, zainteresowanym polecam obserwację:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
