Уязвимость протокола CTF затрагивает все версии Windows (с Windows XP)

Олег Иванов 14 Августа 2019 - 08:50

Домашние пользователи

...

Малоизвестный протокол Microsoft под названием CTF используется всеми версиями Windows, начиная с Windows XP. Эксперт Google Project Zero Тэвис Орманди считает, что CTF небезопасен и злоумышленник легко может проэксплуатировать протокол в ходе атаки.

Выяснилось, что присутствующий в системе вредонос может использовать CTF для захвата любого привилегированного приложения и даже всей системы целиком.

В настоящее время патча для уязвимостей протокола не существует и его скорого выхода также ждать не стоит — брешь очень прочно обосновалась в самом сердце CTF. По словам Орманди, ему не удалось найти упоминание CTF в документации Microsoft. То есть эксперт даже не может пока расшифровать эту аббревиатуру.

Единственное, что нашёл Орманди в отношении этого протокола: CTF является частью Windows Text Services Framework (TSF) — системы, отвечающей за отображение текста внутри Windows и приложений.

Когда пользователь запускает приложение, Windows параллельно запускает CTF-клиент для этого приложения. Клиент получает инструкции от сервера относительно системного языка ОС и устройств для ввода текста.

Тэвис Орманди обнаружил, что коммуникация между CTF-клиентом и его сервером не требует аутентификации и не имеет других средств защиты. В результате любой желающий может вмешаться в процесс взаимодействия клиента и сервера.

«Таким образом, вы можете подключиться к активной сессии другого пользователя. Это позволит скомпрометировать любое приложение или подождать входа администратора, чтобы перехватить его сессию», — объясняет Орманди.

В результате атакующий сможет отправлять команды приложению, играя роль сервера. Для демонстрации проблемы Орманди записал специальное видео, с которым можно ознакомиться ниже:

Орманди также выложил на GitHub специальный инструмент, который поможет исследователям проверить протокол на другие проблемы безопасности.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Июня 2026 - 11:22

GenAI (генеративный искусственный интеллект) Общее Системы для анализа защищенности информационных систем Киберучения Средства тестирования на проникновение

ИИ, API и пентесты: о чём говорили на «Финтех в безопасности 2026»

16 июня в Москве состоялась международная конференция «Финтех в безопасности 2026», организованная Compliance Control & Rakasta. Мероприятие собрало более 200 представителей банков, финтех-компаний, маркетплейсов, ретейла, а также специалистов по ИТ, информационной безопасности и искусственному интеллекту.

В этом году организаторы впервые разделили программу на два параллельных направления — бизнес-трек и технологический трек. В центре обсуждения оказались вопросы защиты платёжной инфраструктуры, управления рисками, безопасной разработки и практического применения технологий ИИ.

Главной темой конференции стала концепция «Вселенной безопасных платежей». Её идея проста: банки, маркетплейсы, ретейл и финтех сегодня работают внутри единой цифровой экосистемы, а значит, проблемы безопасности одного участника могут повлиять на всех остальных.

Одной из ключевых дискуссий стала тема роста взаимозависимости между компаниями. Руководитель управления информационной безопасности Ассоциации ФинТех Александр Товстолип отметил, что развитие интеграций и API делает сервисы удобнее для пользователей, но одновременно увеличивает поверхность атаки.

Представители бизнеса также обсудили влияние искусственного интеллекта на процессы безопасности. По словам директора по информационной безопасности Hoff Tech Андрея Эли, ИИ не создаёт принципиально новых рисков, но способен многократно усилить уже существующие проблемы, если они не были решены заранее.

Отдельное внимание уделили взаимодействию между ИБ-подразделениями, ИТ-службами и бизнесом. Руководитель направления оценки нефинансовых рисков Московской биржи Ольга Миньзюк подчеркнула, что информационная безопасность всё меньше воспринимается как отдельная функция и всё чаще становится частью общих бизнес-процессов.

Помимо пленарной сессии участники обсуждали практические вопросы проведения пентестов, защиты данных, безопасной разработки, международных стандартов безопасности и подготовки специалистов.

Также на конференции представили результаты исследований в области кибербезопасности и обсудили подходы к аудиту систем защиты. По мнению участников, современные угрозы становятся всё сложнее, а потому защита платёжных сервисов требует не только технологий, но и постоянного взаимодействия между бизнесом, ИТ и специалистами по информационной безопасности.

Судя по темам дискуссий, главный вывод конференции оказался довольно простым: в мире цифровых платежей слабое звено в цепочке способно создать проблемы для всей экосистемы.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!