Ошибка нулевого символа позволяет обойти AMSI в Windows 10

Ошибка нулевого символа позволяет обойти AMSI в Windows 10

Ошибка нулевого символа позволяет обойти AMSI в Windows 10

Появившийся в Windows 10 инструмент Anti-Malware Scan Interface (AMSI), выступающий в качестве слоя защиты, связывающего приложения и антивирусы, затрагивает недостаток безопасности, связанный с тем, как обрабатываются данные после нулевого символа.

AMSI представляет собой механизм, обеспечивающий защиту от вредоносных программ, которые не могут детектировать стандартные антивирусные решения. К таким угрозам относятся, например, скрипты PowerShell, выполняемые через обычные программы.

Как пишет обнаруживший баг эксперт Сатоши Танда, ошибка позволяет обойти сканирование файла AMSI, так как оно прерывается, наткнувшись на нулевой символ. Вся информация, расположенная после нулевого символа, просто не обрабатывается Anti-Malware Scan Interface.

Следовательно, все, что потребуется от злоумышленника — добавить перед вредоносным кодом нулевой символ, который поможет обойти защитный механизм AMSI.

Эксперт опубликовал различные примеры реализации такого обхода AMSI, среди них запуск вредоносного PowerShell.

На прошлой неделе Microsoft выпустила патч, устраняющий эту проблему безопасности, Танда рекомендует всем установить его как можно скорее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Правительство приостановило работу над сбором за зарубежное ПО

Проработка инициативы Минцифры о введении сбора за использование зарубежного программного обеспечения приостановлена. Главной причиной стали сложности с разработкой механизма и согласованием законопроекта с другими ведомствами. Тем не менее в министерстве подчёркивают, что работа над инициативой будет продолжена.

Идею взимать сбор за использование иностранного ПО впервые озвучил премьер-министр Михаил Мишустин. Предполагалось, что собранные средства пойдут на поддержку российских разработчиков.

В мае 2024 года о подготовке соответствующего законопроекта сообщил министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, документ планировалось внести в Госдуму в сентябре 2024 года. Инициатива касалась исключительно крупного бизнеса.

О приостановке работы над законопроектом сообщил источник «Коммерсанта» в Минцифры. Основной проблемой стала сложность реализации. В частности, неясным остаётся механизм выявления использования зарубежного ПО, а также слишком запутанным оказался расчёт размера сбора для разных классов программ.

Кроме того, инициатива не получила поддержки со стороны Федеральной налоговой службы и Министерства финансов. Резкую критику она вызвала и у отраслевых объединений — «Руссофта» и Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт».

«Это стало бы серьёзным препятствием на пути к достижению технологического суверенитета страны. Инициатива сложна в реализации и администрировании, а также может привести к риску внеплановых проверок, направленных на выявление использования зарубежного ПО», — прокомментировал исполнительный директор АРПП «Отечественный софт» Ренат Лашин.

По его мнению, закон фактически стал бы индульгенцией на нелегальное использование иностранного софта и, соответственно, затруднил бы внедрение отечественных решений.

Партнёр технологической практики «ТеДо» Максим Иванов отметил, что у бизнеса нет острой необходимости в замене зарубежных программ, поскольку они продолжают работать. Единственное затруднение — отсутствие официальной поддержки, которую, впрочем, компенсируют российские интеграторы и компании, созданные бывшими сотрудниками представительств иностранных вендоров.

В ряде сегментов доля иностранного ПО остаётся крайне высокой. Руководитель практики «Стратегия» «Рексофт Консалтинг» Александр Чугунов привёл пример:

«Программное обеспечение Autodesk давно и широко используется проектировщиками и де-факто стало отраслевым стандартом. В строительном проектировании его доля достигает 90%».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru