Microsoft меняет механизмы безопасности Windows

Microsoft меняет механизмы безопасности Windows

Microsoft меняет механизмы безопасности Windows

Microsoft объявила о планах внести изменения в архитектуру ОС Windows для того, чтобы не внешние сервисы, в том числе наложенные средства защиты, не затрагивали работу ядра системы. Это стало ответом на июльский инцидент с CrowdStrike.

Как стало известно изданию The Verge, решение было принято после большого Саммита по безопасности Windows, который состоялся на текущей неделе в штаб-квартире Microsoft.

В нем участвовали, помимо представителей самой Microsoft, специалисты других ИБ-вендоров, включая CrowdStrike, Broadcom, Sophos и Trend Micro. Главной темой данного мероприятия стали изменения, которые необходимо внести в архитектуру системы для недопущения «катастрофы CrowdStrike», масштабного инцидента 19 июля, который вывел из строя 8,5 миллиона компьютеров и серверов на Windows по всему миру.

Проблема тогда возникла в ходе неудачного обновления сервиса безопасности Falcon Sensor от компании CrowdStrike. Как оказалось, проблемное обновление не прошло валидацию в полном объеме. К столь серьезным последствиям привело и то, что Falcon Sensor работал на уровне ядра Windows, которое имеет полный доступ к другим компонентам системы и оборудованию. 

Все это время Microsoft вела активную работу по выведению сервисов безопасности с уровня ядра системы, но, как отмечает старший редактор The Verge Том Уоррен, подвергалась серьезному давлению со стороны партнеров и регуляторов, чтобы вендор не предпринимал односторонних шагов. Microsoft уже пыталась сделать нечто похожее в 2006 году, но тогда эта мера была отвергнута рынком.

Саммит же как раз и был посвящен обсуждению новых требований к поставщикам решений безопасности для Windows. Пока, по мнению Тома Уоррена, движение в сторону выведения сервисов безопасности с уровня ядра идет очень медленно и осторожно. Большая часть разработчиков наложенных средств безопасности готова принять эту меру, но есть и те, кто сопротивляется. Также имеются опасения, что данные меры вызовут противодействие со стороны регуляторов, прежде всего, антимонопольных, как это уже было в 2006 году.

«Как наши клиенты, так и партнеры по экосистеме призвали Microsoft предоставить дополнительные возможности безопасности за пределами пространства ядра, которые, наряду с безопасными практиками развертывания, могут быть использованы для создания высокодоступных решений по безопасности, — комментирует результаты саммита Дэвид Уэстон, вице-президент по корпоративной безопасности и безопасности ОС в Microsoft. — В качестве следующего шага Microsoft продолжит проектировать и развивать эту новую возможность платформы в сотрудничестве с партнерами по экосистеме для повышения надежности без ущерба для безопасности».

«Это была долгожданная возможность присоединиться к отраслевым коллегам в открытом обсуждении достижений, которые будут служить нашим клиентам, повышая устойчивость и надежность как Microsoft Windows, так и всей экосистемы безопасности конечных точек», — прокомментировал результаты мероприятия генеральный директор Sophos Джо Леви.

«Мы оценили возможность присоединиться к этим важным дискуссиям с Microsoft и коллегами по отрасли о том, как лучше всего сотрудничать в создании более устойчивой и открытой экосистемы безопасности конечных точек Windows, которая укрепляет безопасность для наших общих клиентов», — отметил Дрю Бэгли, вице-президент CrowdStrike.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru