UAC и неравная борьба с вирусами. Кто кого?

UAC и неравная борьба с вирусами. Кто кого?

 UAC и неравная борьба с вирусами. Кто кого?

Очень важно обеспечить возможность передачи привилегированных прав (и потенциально опасных) только тому программному обеспечению, которое обоснованно требует их предоставления. Механизм UAC, существующий в операционных системах Windows Seven и Vista, позволяет пользователям запускать программы с административными полномочиями только при неизбежной необходимости для задач администрирования компьютера. 

Контроль учетных записей (UAC) был, вероятно, первой новой функцией Windows Vista, встречу с которой  не смогли избежать большинство пользователей, и которая благодаря этому получила значительное внимание сразу после релиза операционной системы, рассказывает блог Microsoft по безопасности.  Со временем, особенно с выпуском Windows 7, количество сценариев работы UAC, требующих реакции пользователя, было уменьшено. Многие считают запросы, поступающие от контроля учетных записей назойливыми, но абсолютно ясно -  больше всех функцию UAC ненавидят именно авторы вредоносного программного обеспечения.

Когда функция UAC был представлена, вердикт авторов вредоносного программного обеспечения был удивительно единодушным – обойти стороной. Внедрение контроля учетных записей стало принципиальным изменением по сравнению с Windows XP, и на всех подпольных форумах о вредоносном программном обеспечении указанный подход считался универсальным. Просто вместо запуска вируса с правами администратора из расположений доступных с правами администратора теперь приходилось запускать его в пользовательском профиле с пользовательскими же правами. К сожалению, это совершенно не было проблемой для вирусописателей. Однако для вредоносного программного обеспечения действительно становилось очень трудным заполучить права администратора, что и было целью создания UAC, большинство вредоносного программного обеспечения пыталось обойти эту проблему стороной.

В то время как тактика обхода UAC остается популярной, Microsoft Malware Protection Center обнаружил целый класс  вредоносного программного обеспечения, которое стремится к тому чтобы отключить контроль учетных записей в принципе. Вирусное ПО делает это, чтобы препятствовать обнаружению пользователем запуска вредоносных модулей благодаря запросам UAC после каждой перезагрузки. Семейство вирусов Sality, руткиты Alureon, поддельные антивирусы вроде FakePAV, распространяющиеся через уязвимости автозапуска черви и банковское трояны Bancos - все они имеют модификации, выключающие UAC. Со временем это стало настолько распространенным приемом, что в антивирусном ПО Microsoft Security Essentials, Windows Intune, и Forefront Endpoint Protection было внедрено использование поведенческого мониторинга, чтобы обнаруживать программы, которые пытаются управлять настройками UAC, и Microsoft Malware Protection Center регулярно регистрирует совершенно новое вредоносное программное обеспечение, запрещающее UAC.

Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск. К сожалению, многие пользователи Windows отключают UAC сами. В то время как авторы вирусов всеми силами стараются избежать срабатывания UAC, легитимный софт так же совершенствуется в направлении уменьшения количества сценариев работы, требующих повышения привилегий, таким образом количество запросов, поступающих от UAC сейчас достигло своего минимума, что позволяет легко отслеживать любую действительно подозрительную активность.

В ниже приведенном списке мы можем наблюдать 5 наиболее популярных угроз, поразивших компьютеры с отключеным контролем учетных записей пользователей. Например, черьв Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей. А такие программы, например, как SideTab и OneScan, наоборот, используют технологии "социальной инженерии", чтобы добиться повышения привилегии и затем опять же отключить UAC.

Угроза, поразившая компьютер  Как часто UAC отключена
Worm:Win32/Rorpian.gen!A 95%
Worm:Win32/Rorpian.E!lnk 92%
Worm:Win32/Rorpian.E!inf 92%
Adware:Win32/SideTab 82%
Rogue:Win32/Onescan 68%


Ежедневно 23% компьютеров, антивирусное ПО которых сообщило серверам статистики о обнаружении заражения, работают с отключенным контролем учетных записей. В то время когда некоторые вирусы целенаправленно отключают UAC, другие гораздо менее успешны в своей вредоносной деятельности если UAC находится в активном состоянии.

Для того, чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов. Если вы обнаружили вирус, зайдите в панель управления и убедитесь, что функция UAC включена. Если она отключена, то включите её, это легко сделать. В последствии изредка вы будете видеть запросы на подтверждение повышения привилегий приложения, в случае возникновения сомнении просто выбирайте вариант "нет".

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru