Как стать автором
Обновить

В Windows 7-10 активно эксплуатируется 0day с удалённым исполнением кода. Патча нет

Время на прочтение 3 мин
Количество просмотров 22K
Всего голосов 23: ↑23 и ↓0 +23
Комментарии 45

Комментарии 45

В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».


т.е. можно не париться(в случае десятки)?
я подозреваю, что пошифровать документы оно оттуда всё равно сможет, а большего и не требуется.
так оно же с меткой AppContainer(это еще используется для UWP).

доступа не должно же быть ко всей файловой системе?
это если нет эксплойтов, позволяющих совершить выход из песочницы

спасибо за примеры решений до выхода патча. интересно, а почему нельзя быстро выпустить микропатч, который это сделает сам?

Для Win7 патча и не будет?:(
Конечно будет. Платная поддержка ещё три года, апдейты ежемесячно выходят, поставить их может любой достаточно сильно желающий.
Вышли обновления KB4550964 (Monthly Rollup) и KB4550965 (Security-only update), в них содержится указанный обновленный atmfd.dll, хотя номер версии как был 5.1.2.254, так и остался.
А что, с update.microsoft.com ещё можно скачать свежие обновы к Семерке?
НЛО прилетело и опубликовало эту надпись здесь
[offtop]Хм… Вот и эксплойты уже превратились в «эксплоиты». Кажется, нас скоро ждут неологизмы «моика», «обоима», «с тобои»…[/offtop]
Но как писали войн вместо воин, так и будут.
НЛО прилетело и опубликовало эту надпись здесь
И ещё «биткоин», «героин», «коитус» да «поиск»? :) Эгоист…
Вот как раз «биткойн» тоже должен писаться через «й», согласно правилам транскрипции. (В отличие от «андроида» и прочих "-оидов", которые в последнее время стало модно писать через «й».)
А чем андроид хуже? Я в правилах в википедии вижу однозначное транслитерирование «oi» в «ой». Без вариантов.
Тем, что эти правила транслитерации — для английских слов. А суффикс -oid — греческого происхождения, он транслитерируется как «оид». Сфероид, гиперболоид (инженера Гарина), монголоид, планетоид, андроид…
Лично мне «биткойн» и «эксплойт» глаз режет не меньше, чем «андройд».
У меня в семье всегда говорили «свекла́», я так и привык с детства. Когда я узнал, что правильно «свёкла», для меня это было шоком; «правильное» слово выглядело совершенно уродливым и каким-то неадекватным. Однако же заставил себя переучиться.

Результат убивания "ё", получается. Тоже всю жизнь моё окружение ставила ударение на последнюю гласную.

Точно не знаю, как такая форма пошла в жизнь, но да, вполне возможно, что из-за этого.
Правильно «буряк» :)
Да, так тоже у нас часто говорят (только через «а» — «бурак»).
ATMLIB.DLL

А это не та, какую патчат для «кряка» Adobe CC?
нет, та слегка по-другому пишется и находится в совсем другой папке
Удаление atmfd.dll для русифицированных версий Windows:
c:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Ђ¤¬Ё­Ёбва в®ал:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Ђ¤¬Ё­Ёбва в®ал:(F)
rename atmfd.dll x-atmfd.dll

Здесь "Ђ¤¬Ё­Ёбва в®ал" — это «Администраторы» в кодировке DOS.
Проверяли? Ругается на пробел (а маленькое в ср866)…
В оригинале M$ еще предлагают включить показ иконок вместо превьюшек в параметрах проводника
ATMFD.DLL (в последних версиях ATMLIB.DLL), которая работает на уровне ядра ещё со времён NT

Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.


В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.


Пользователи Windows 10 могут расслабиться и спокойно ждать патча.

Да, Windows 10 безопаснее. К сожалению, пользователи редко понимают это (потому что вся изоляция и защита от эксплоитов — под капотом) и продолжают считать, что «раньше было лучше», «позасовывают всё в контейнеры, мне 4 гигабайт памяти не хватает» и «зачем браузеру столько потоков, натыкаю твиков из интернетов, чтобы был один поток, как во времена моей родненькой XP (с придыханием)». Даже от эксплуатации некоторых уязвимостей в драйверах 10-ка может защитить, если включить защиту целостности кода.
Поверьте, люди не хотят пользоваться десяткой вовсе не из-за требований к памяти или там каких-то потоков в браузере.
Винду 7 можно использовать на 2 ГБ памяти, но это если не запускать Хром и не качать обновы. Если качать, то скажем 64-битной лучше «больше 4 ГБ» (скажем тратить 5 будет без любого браузера).
Десятка при попытке скачать крупный апдейт (типа 1809) — тоже не меньше 4 ГБ нужно.
А на XP вполне можно было играть на 1 ГБ памяти во что-то не очень новое или скажем на 2 ГБ в «консольную» игру 2020 года. Но то игра совсем консольная, она где-то 300 МБ видеопамяти тратит в 1080p.
Поверьте, память по-прежнему остаётся дефицитным ресурсом, и иметь 4 гигабайта памяти — удача.
На 2 ГБ с 32-битной Виндой вполне можно жить (7 или 10). Но наверное не любителям открывать 15 вкладок в Хроме.
Или вообще попробовать Ubuntu на таком объеме. А если совсем рискованные люди — Fedora Workstation.
На Ubuntu не удаётся работать с мультимедиа.
Честно — не пробовал. Вы имеете в виду именно работать с музыкой/видео или воспроизводить?
А что удача — согласен. Если совсем плохо — находим в комп 2 ГБ оперативки и ставим из образа Win 7 x86.
Распознавание текстов, подавление шумов и щелчков и компрессия звукозаписей, ретуширование и реставрация фото-изображений.

Увы, сколько я ни брожу по улицам, нигде не удаётся найти 2 гигабайта оперативки. Только за деньги :-(.
Находим в коробочке с памятью. Но это я имею в виду на работе. Причем, в данном случая мой отдел не имеет отношения к закупке комплектующих или готовых компов (тендеры, спецификации к ним и т.д.). На нас свалили функцию «найти комп/монитор/клаву/мышку на складе» и «налить образ, ввести в домен».
Но в данном «АО с большей долей государства» (если я ничего не напутал) по идее 100% компов сотрудников на Винде. Если конечно человек не знает пароль на BIOS и не имеет желания установить себе любую ОС из скачанного дома образа.
Именно на работе нет никакой коробочки с памятью, отсюда и трудности.

А какие не UWP приложения ее используют?

Но ведь это какое-то полезное приложение, а не helloworld, поэтому пользователь давно разрешил и файлы и инет.

В этом плане, может быть, там как в макоси для приложений из стора уже давно сделано — пока не выделишь в окне открытия конкретную папку или файл, доступа нет, как только сделал — есть, но только в конкретные файлы.

Да, именно так. Откройте свойства любого файла внути папки Документы, во вкладке Безопасность будет список тех, кому разрешён доступ. Так вот, там не будет ничего, что разрешает даже читать эти файлы изнутри AppContainer'а. Как же программы из Microsoft Store могут открывать и редактировать документы? Ответ — им для этого должен помочь специальный процесс, называемый брокером, который эти права имеет. Именно он показывает диалоги открытия/сохранения файлов, и, соответсвенно, требует участия пользователя.

А я всегда продажникам говорил — этот пред просмотрт — это зло! Но не кто не верил :-)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий