По следам более чем прошлогодней статьи представляю грустное продолжение.
Осенью 2018 года наткнулся на комментарий одного из создателей продукта и решил таки посмотреть, устранены ли дыры в новой версии и попробовать поискать новые.
В итоге обнаружено следующее:
1. Возможность удаления/переименования драйверов устранена установкой более жестких прав доступа к ним.
Данное решение однозначно напрашивалось. Это был единственный плюс, дальше идут минусы:
2. Защита системных файлов оставлена «как есть», вероятно, с целью обеспечения работоспособности механизмов обновления операционной системы.
В результате стереть/переименовать системный файл и повалить таким образом службу можно все так же легко.
Пробуем стирать на вид абсолютно никому не нужный winspool.drv, от которого зависит dlservice.exe и перезагружаемся.
Входим в систему, видим в диспетчере задач, что служба не запустилась и… оппа! Синий экран!
Перегружаемся, входим и снова синий! Возвращаем файл на место, перегружаемся. Служба запущена, ничего не падает! Вот ведь хитрецы, защиту сделали! Браво? — Не спешите!
Первое, что бросается в глаза, — наличие задержки между входом и падением в синий экран.
Злоумышленник может провернуть темные делишки, но очень по быстрому.
Однако на скоростях интерфейсов USB3 и Thunderbolt можно успеть прокинуть на съемный накопитель сотню-другую мегабайт за ту самую пару секунд между входом в систему и падением.
Второе — система не падает, если не выполнять логин. Т.е. цепляйся по сети со своего ноута, расшаривай С$ и спокойно забирай, что надо, лежит ведь все, в том числе и файрволл! Главное, в терновый кус…, ТЬФУ!, в удаленный рабочий стол не заходи и не логинься — опять упадет!
Ну и наконец третье — пытаемся вместо системной оболочки (по умолчанию естественно проводник), подсунуть скрипт, копирующий что-то большое, напр клиентскую базу, на флешку (и да, ключ реестра на редактирование не закрыт!).
Эффект оказывается забавный — синий экран не появляется и через 10 минут после работы нашего зловредного скрипта!
Суперзащита реагирует на проводник! Для проверки просто запускаем его и получаем синий экран! Т.е. достаточно отключить стандартную оболочку, и защита рушится после удаления системного файла!
Разработчикам из Смарт Лайн, видать, невдомек, что стандартный диалог открытия файла обладает практически полным функционалом проводника по копированию файлов и доступен
сразу после входа в систему из диспетчера задач!
В итоге имеем ровно то, что и предполагал в предыдущей статье: дополнительные саморезы в штакетник вкрутили, но защиту это сильно не усилило.
Удивляет, что настолько топорное решение предлагает фирма, позиционирующая себя как разработчик систем защиты мирового масштаба!
Более того, о простых пользователях думают в последнюю очередь, ибо в случае любого сбоя с порчей системных файлов эта чудо-защита просто парализует штатную работу компьютера и будет потрачено немаленькое время на восстановление, если поблизости нет квалифицированного персонала.
Пока ковырялся с этим, случайно обнаружил еще один прикол в стиле прям таки Apple: в консоль управления можно войти от имени обычного пользователя с пустым паролем! Это возможно, если его пароль совпадает с паролем одного из выделенных админов DeviceLock.
Естественно, на моих тестовых виртуалках у всех пароли 8 единиц.
Подход разработчиков просто поразил — это глюк Microsoft и исправлять не собираемся. Вопрос, зачем использовать проблемный компонент, повис в воздухе.
Так же заметил, что механизмы усиления прав доступа сделаны не менее топорно: при установке усиленной самозащиты шаблоны применяются без проверки результатов. Если каким то образом файл удалить или установить заранее права так, что установщик их не сможет поменять, то никакой реакции не будет. Ошибки не появится, а после перезагрузки либо не стартанет сервис, либо файлы останутся доступными для изменения/удаления. И это работа профессионалов — безопасников?
В итоге получаем, что вместо изменения крайне неудачной архитектуры продукта разработчик ограничился корявыми малодейственными заплатками и продолжил развитие в экстенсивном стиле. Служба стала еще больше и ехе-файл уже занимает 18Мб вместо 13!
На предложение сотрудничества по устранению обнаруженного руководство СмартЛайн отреагировало вяло, что еще больше удивляет. Не думал, что в серьезной IT-фирме действует принцип «зачем улучшать, пипл хавает!».
Сколько еще проблем имеет данный продукт, остается только гадать, т.к. ковыряться дальше бесплатно просто лениво. Пользоваться им крайне не рекомендуется, о чем говорилось и более года назад.
Осенью 2018 года наткнулся на комментарий одного из создателей продукта и решил таки посмотреть, устранены ли дыры в новой версии и попробовать поискать новые.
В итоге обнаружено следующее:
1. Возможность удаления/переименования драйверов устранена установкой более жестких прав доступа к ним.
Данное решение однозначно напрашивалось. Это был единственный плюс, дальше идут минусы:
2. Защита системных файлов оставлена «как есть», вероятно, с целью обеспечения работоспособности механизмов обновления операционной системы.
В результате стереть/переименовать системный файл и повалить таким образом службу можно все так же легко.
Пробуем стирать на вид абсолютно никому не нужный winspool.drv, от которого зависит dlservice.exe и перезагружаемся.
Входим в систему, видим в диспетчере задач, что служба не запустилась и… оппа! Синий экран!
Перегружаемся, входим и снова синий! Возвращаем файл на место, перегружаемся. Служба запущена, ничего не падает! Вот ведь хитрецы, защиту сделали! Браво? — Не спешите!
Первое, что бросается в глаза, — наличие задержки между входом и падением в синий экран.
Злоумышленник может провернуть темные делишки, но очень по быстрому.
Однако на скоростях интерфейсов USB3 и Thunderbolt можно успеть прокинуть на съемный накопитель сотню-другую мегабайт за ту самую пару секунд между входом в систему и падением.
Второе — система не падает, если не выполнять логин. Т.е. цепляйся по сети со своего ноута, расшаривай С$ и спокойно забирай, что надо, лежит ведь все, в том числе и файрволл! Главное, в терновый кус…, ТЬФУ!, в удаленный рабочий стол не заходи и не логинься — опять упадет!
Ну и наконец третье — пытаемся вместо системной оболочки (по умолчанию естественно проводник), подсунуть скрипт, копирующий что-то большое, напр клиентскую базу, на флешку (и да, ключ реестра на редактирование не закрыт!).
Эффект оказывается забавный — синий экран не появляется и через 10 минут после работы нашего зловредного скрипта!
Суперзащита реагирует на проводник! Для проверки просто запускаем его и получаем синий экран! Т.е. достаточно отключить стандартную оболочку, и защита рушится после удаления системного файла!
Разработчикам из Смарт Лайн, видать, невдомек, что стандартный диалог открытия файла обладает практически полным функционалом проводника по копированию файлов и доступен
сразу после входа в систему из диспетчера задач!
В итоге имеем ровно то, что и предполагал в предыдущей статье: дополнительные саморезы в штакетник вкрутили, но защиту это сильно не усилило.
Удивляет, что настолько топорное решение предлагает фирма, позиционирующая себя как разработчик систем защиты мирового масштаба!
Более того, о простых пользователях думают в последнюю очередь, ибо в случае любого сбоя с порчей системных файлов эта чудо-защита просто парализует штатную работу компьютера и будет потрачено немаленькое время на восстановление, если поблизости нет квалифицированного персонала.
Пока ковырялся с этим, случайно обнаружил еще один прикол в стиле прям таки Apple: в консоль управления можно войти от имени обычного пользователя с пустым паролем! Это возможно, если его пароль совпадает с паролем одного из выделенных админов DeviceLock.
Естественно, на моих тестовых виртуалках у всех пароли 8 единиц.
Подход разработчиков просто поразил — это глюк Microsoft и исправлять не собираемся. Вопрос, зачем использовать проблемный компонент, повис в воздухе.
Так же заметил, что механизмы усиления прав доступа сделаны не менее топорно: при установке усиленной самозащиты шаблоны применяются без проверки результатов. Если каким то образом файл удалить или установить заранее права так, что установщик их не сможет поменять, то никакой реакции не будет. Ошибки не появится, а после перезагрузки либо не стартанет сервис, либо файлы останутся доступными для изменения/удаления. И это работа профессионалов — безопасников?
В итоге получаем, что вместо изменения крайне неудачной архитектуры продукта разработчик ограничился корявыми малодейственными заплатками и продолжил развитие в экстенсивном стиле. Служба стала еще больше и ехе-файл уже занимает 18Мб вместо 13!
На предложение сотрудничества по устранению обнаруженного руководство СмартЛайн отреагировало вяло, что еще больше удивляет. Не думал, что в серьезной IT-фирме действует принцип «зачем улучшать, пипл хавает!».
Сколько еще проблем имеет данный продукт, остается только гадать, т.к. ковыряться дальше бесплатно просто лениво. Пользоваться им крайне не рекомендуется, о чем говорилось и более года назад.
