Проблемные патчи Meltdown/Spectre не влияют на работу DeviceLock DLP

Проблемные патчи Meltdown/Spectre не влияют на работу DeviceLock DLP

Проблемные патчи Meltdown/Spectre не влияют на работу DeviceLock DLP

Команда DeviceLock провела тщательную проверку функционирования агента программного комплекса DeviceLock DLP, в ходе которой выяснилось, что после установки патчей, устраняющих уязвимости Meltdown и Spectre, агент остается полностью функциональным, включая наиболее сложные в нем механизмы.

Новый 2018 год начался с активного обсуждения новых уязвимостей и патчей к ним – уязвимости Meltdown и Spectre позволяют пользователю с низкими привилегиями, выполнившему код на уязвимой системе, получить из памяти конфиденциальную информацию с помощью спекулятивного выполнения команд (Speculative Execution). Эти уязвимости затрагивают практически все современные и устаревшие процессоры вне зависимости от используемой операционной системы.

Компания Microsoft оперативно выпустила экстренные обновления безопасности, устраняющие уязвимости Meltdown и Spectre, которые затрагивают почти все процессоры, выпущенные с 1995 года. Однако, вскоре после релиза пользователи начали сообщать о проблемах в работе устройств на базе процессоров AMD, в частности Athlon, после установки патча KB4056892. Microsoft также признала наличие проблемы с патчами, отметив, что часть пользователей «столкнется с ухудшением производительности» и порекомендовал компаниям «поддерживать разумный баланс между соображениями безопасности и продуктивностью».

Более того, как выяснилось далее, компьютерам под Windows с некоторыми процессорами AMD не удаётся загрузиться после установки патча от уязвимостей Meltdown/Spectre. В результате Microsoft приостановил распространение патча от Meltdown и Spectre.

Анализ уязвимостей и патчей для них в тестовой лаборатории DeviceLock показал, что данные уязвимости, по сути, разрушают изоляцию приложений друг от друга и ядра. В свою очередь, применение патчей приводит к тому, что из таблицы страниц убирается большая часть маппинга системного адресного пространства (или, проще говоря, ядра системы) при работе приложений в непривилегированном режиме, что отключает возможный доступ из процессов уровня user mode к пространству ядра системы. Такое ограничение является потенциально опасным для функционирования программных продуктов, в архитектуру которых входят компоненты, работающие как драйверы ОС, поскольку может вызвать критический сбой работы приложения при обращении с уровня приложений (user mode) на уровень ядра (kernel mode) к собственным либо сторонним компонентам и драйверам.  

Учитывая, что агент программного комплекса DeviceLock DLP является сложным программным решением, функционирующим на обоих уровнях: user mode и kernel mode, была проведена тщательная проверка функционирования агента на различных компьютерах и операционных системах после установки патчей для уязвимостей Meltdown и Spectre. Тщательное всестороннее тестирование подтвердило штатное функционирование агента, и в особенности наиболее сложных механизмов в нем (таких, как перехват сторонних приложений, протоколов и контроль драйверов устройств, функции защита от пользователя с правами локального администратора, контентно-зависимых правил). 

«Высокое качество в сочетании с акцентом на создании новых, эффективных технологий всегда были в фокусе нашего внимания. Стабильная работа исполнительного агента DeviceLock DLP после установки проблемных патчей еще раз подтверждает высокий уровень качества реализации нашего продукта, и правильно выбранный подход к построению его внутренней архитектуры», — сообщил Ашот Оганесян, технический директор и основатель DeviceLock.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Разработчик фишинг-наборов получил 7 лет за ущерб в $134 млн

Британский суд приговорил 21-летнего студента Олли Холмана к семи годам лишения свободы за создание и распространение инструментов для фишинга, которые использовались киберпреступниками по всему миру. По данным следствия, эти программы нанесли ущерб на сумму более 134 млн долларов.

Холман целенаправленно разрабатывал вредоносные наборы, позволявшие похищать конфиденциальные данные тысяч людей в разных странах.

Как сообщила газета The Guardian, созданные Холманом наборы для фишинга имитировали интерфейсы государственных служб, финансовых организаций и благотворительных фондов. С их помощью злоумышленники получали доступ к личным данным и платёжным реквизитам пользователей из 24 стран.

Всего за период с 2021 по 2023 год Холман разработал 1052 таких набора, копировавших сайты и сервисы 69 различных организаций.

Он продавал их через закрытый канал в Telegram и заработал на этом около 300 тысяч фунтов стерлингов (более 430 тысяч долларов), которые впоследствии отмывал через криптовалютные кошельки.

О Холмане полиции сообщила компания WMC Global, занимающаяся мониторингом угроз в интернете. В октябре 2023 года его задержали в общежитии Университета Кента, где он обучался. Несмотря на арест и прекращение распространения своих фишинговых инструментов, Холман продолжал оказывать техническую поддержку их пользователям. Это стало основанием для повторного задержания в мае 2024 года.

Холман признал вину по семи пунктам обвинения, включая изготовление и продажу средств, предназначенных для совершения мошенничества, содействие преступлениям, а также отмывание доходов, полученных преступным путём.

«Потери от мошенничества, связанные с действиями Холмана, исчисляются миллионами. Более того, сам Холман получил огромную прибыль от продажи этого программного обеспечения, не задумываясь о том, как оно может причинить вред жертвам», — отметил следователь Бен Херли.

Прокурор Королевской прокуратуры Сара Дженнингс выразила надежду, что вынесенный приговор станет предостережением для других авторов вредоносного кода. По её словам, анонимность и защита даркнет-платформ не спасут киберпреступников от ответственности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru