Обновления поисковой системы Microsoft Malware

admin

Microsoft выпустила версию Malware Protection Engine 1.1.6603.0, обновленную версию приложения Microsoft Malware Protection Engine (MPE), 23 февраля 2011 года. Обновленное MPE исправляет серьезную лазейку безопасности (возвышение привилегий), которая позволяет злоумышленникам, уже получили доступ к компьютеру пользователя, чтобы повысить их права доступа пользователей, чтобы получить административные права на компьютере. После использования лазейки злоумышленник мог снимать произвольный код или команды из системы и полностью захватывать ее. После этого злоумышленник может устанавливать программы или приложения, редактировать, просматривать, изменять или удалять данные с компьютера с полными правами администратора.

Если это не исправлено, злоумышленник может использовать заблокированный ПК с Windows, введя его и запуская сценарий атаки, который преобразует раздел реестра в специальное значение или код. Когда MPE запускает свое последующее сканирование, он запускает специально созданный ключ, который равен привилегии злоумышленника подлинным правам пользователей из-за того, что пресеты LocalSystem полагаются на компьютер. Как правило, LocalSystem имеет основные привилегии и используется диспетчером управления сервисами. Для создания всего этого беспорядка злоумышленник должен находиться на компьютере с аутентичными учетными данными, поскольку неизвестные пользователи не могут использовать эту лазейку.

Все приложения или службы в Windows XP и 2003 могут постоянно маскироваться приписываемых правах привилегий. Практика олицетворения могла быть продолжена злоумышленником, независимо от включения различных поздних функций безопасности, предназначенных для защиты потоков от такой деятельности. ИТ-менеджерам рекомендуется запускать процессы / приложения в качестве постоянных пользователей с необходимыми привилегиями при рассмотрении вероятности появления такой практики использования этой лазейки безопасности. Следовательно, они не обязаны запускать процессы / приложения SQL Server как локальную службу или сетевую службу. Кроме того, компьютерам, работающим в Microsoft Internet Information Services, рекомендуется не запускать веб-приложения на основе ASP.NET в режиме полного доверия.

MPE представлен в ряде приложений безопасности Microsoft, включая Microsoft Security Essentials (MSE), Forefront Client Security, Windows Live OneCare и Forefront Endpoint Protection 2010 и другие. Учитывая, что эти приложения регулярно обновляются, администраторы и пользователи получат новое обновление автоматически в течение 48 недель или до конца выходных дней, согласно данным компании.

Несмотря на то, что Microsoft не сталкивалась с какой-либо халатной практикой в ​​лагере безопасности, шансы на угрозу были достаточно хороши, чтобы компания могла обновить свое приложение. Возвышение угрозы привилегий было основано Cesar Cerrudo, генеральным директором Argeniss, исследовательской фирмы по безопасности. Cesar Cerrudo публично опубликовал свою «Token Kidnapping». исследования на конференции по безопасности Black Hat в июле 2010 года.

Добавить комментарий

    Свежие комментарии