Эксперт Google раскрыл технические подробности 0-day бреши в Windows

Эксперт Google раскрыл технические подробности 0-day бреши в Windows

Уязвимость Windows 10, позволяющая обойти Windows Lockdown Policy и привести к выполнению кода, остается неисправленной, хотя Microsoft была проинформирована о ее существовании 90 дней назад.

Уязвимость обнаружил Джеймс Форшоу из команды Google Project Zero, она затрагивает платформу .NET, позволяет обойти политику Windows Lockdown Policy. Проблема была воспроизведена в Windows 10S, однако эксперт утверждает, что она затрагивает все версии Windows 10 с включенной функцией UMCI (User Mode Code Integrity).

Баг, как поясняет исследователь, существует из-за того, как Windows Lockdown Policy реагирует на создание COM-объекта. Грамотная реализация должна проверять CLSID, передаваемый в DllGetObject для регистрации DLL.

Специалист же обнаружил, что при создании COM-объекта CLSID используется только для поиска регистрационной информации в ветке реестра HKCR. Таки образом, злоумышленник может добавлять ключи реестра, в том числе в ветке HKCU, для загрузки произвольного COM-класса под одним из разрешенных CLSID.

Для успешной эксплуатации злоумышленник может использовать такие инструменты, как DotNetToJScript. DotNetToJScript представляет собой бесплатный инструмент, позволяющий пользователям создавать JScript, который загружает сборку .NET.

Proof-of-Concept код был опубликован Форшоу по этому адресу. Специалист сообщил о проблеме Microsoft 19 января, компания признала наличие данной уязвимости. Исходя из условий раскрытия информации об уязвимостях, Форшоу опубликовал технические детали спустя 90 дней, за которые Microsoft так и не устранила недостаток.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Корпоративные продукты Sophos конфликтуют с майскими патчами в Windows 7

Sophos предупреждает пользователей, что корпоративные продукты компании, установленные на системах Windows 7, при попытке инсталляции майского набора патчей могут стать причиной зависания процесса апдейта. Весь процесс зависает на моменте «Настройка обновлений 30%».

Речь идет о продуктах Sophos Endpoint Security and Control и Sophos Central Endpoint Standard/Advanced. Согласно сообщению компании, проблема также проявляет себя и в системах Windows 8.1.

В Sophos полагают, что причиной программного конфликта стали два обновления:

  • Май 14, 2019 — KB4499164 (ежемесячный апдейт).
  • Май 14, 2019 — KB4499165 (патч безопасности).

«Мы наблюдаем растущее число жалоб на невозможность установить обновления. Пользователи сообщают, что проблема возникла после установки патчей, вышедших 14 мая 2019 года», — пишет компания.

На данный момент точно известно, что баг затрагивает пользователей систем Windows 7 и Windows Server 2008 R2. Также есть все основания полагать, что пользователи Windows 8.1 и Windows Server 2012 R2 тоже столкнулись с конфликтом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru