Model zaufania w Windows 10 wciąż łatwo ominąć – aktualizacje raczej nie pomogą

Model zaufania w Windows 10 wciąż łatwo ominąć – aktualizacje raczej nie pomogą09.10.2018 09:40
Model zaufania w Windows 10 wciąż łatwo ominąć (depositphotos)

System Windows, wbrew pozorom, rozwija się bardzo szybko i na wielu polach. Zmiany ogłoszone dla przeklętej, wycofanej chwilowo wersji 1809 dotyczą również wbudowanego antywirusa. Windows wzbogaca się o ochronę na najpopularniejszych polach: przeglądarek internetowych i bezpieczeństwa w kwestii ransomware. Jednak aby poznać prawdziwe trendy w przemyśle złośliwego oprogramowania, trzeba szukać gdzie indziej, niż w optymistycznych ogłoszeniach Microsoftu. Kampanie reklamowe wymyślane dla luk w zabezpieczeniach (jak Meltdown i Spectre), bogate w logotypy i diagramy, oraz „modne” tematy typu ransomware to tak naprawdę powierzchowne wiadomości z branży bezpieczeństwa IT. Prawdziwe szkodniki są mniej eleganckie i niepodatne na masową reklamę. Co gorsza, Windows 10 (nawet najnowszy!), nie chroni przed nimi najlepiej. Wynika to z faktu, że problemy tkwią w samych założeniach projektowych systemu.

Obecnie mamy do czynienia z dwoma głównymi kłopotami bez rozwiązania. Mowa o wirusach bezplikowych oraz zestawianiu niestandardowego „środowiska uruchomieniowego”. Ta druga kwestia, kryjąca się pod enigmatyczną i długą nazwą, to zestaw zagrożeń polegających na rażącym nadużywaniu wbudowanej funkcjonalności. Innymi słowy – jeżeli system jest dziś mocno chroniony i bezpieczny, a antywirus chroni przeglądarkę internetową przed pobraniem szkodliwego/obcego kodu, należy próbować wyrządzać szkody za pomocą „legalnych” narzędzi.

W ten sposób, ambitni i uparci ludzie szukają zapomnianych, niedocenianych albo przypadkowych funkcji w komponentach systemu przeznaczonych do zupełnie innych zastosowań. Dzięki temu powstała baza z dokumentacją takich kwiatków. O jakich konkretnie nadużyciach mowa? Na przykład o pobieraniu plików narzędziem do rozpakowywania archiwów. Uruchamianiu programów jako wygaszacz ekranu. Albo uruchamianiu kodu w ramach działania innego programu.

Windows Defender twierdzi, że wszystko jest w porządku - szkoda, że musi w tym celu uciekać się do skanerów behawioralnych
Windows Defender twierdzi, że wszystko jest w porządku - szkoda, że musi w tym celu uciekać się do skanerów behawioralnych

To wszystko brzmi bardzo ogólnie. Aby zrozumieć skalę zagrożenia, posłużmy się zatem przykładem. Systemowe narzędzie CERTUTIL, mały program zaszyty wewnątrz Windows i służący do instalacji certyfikatów bezpieczeństwa (działa w tle, bez okien, nieinteraktywnie) można wykorzystać do pobierania plików, zaciemnienia ich, a następnie ukrycia w strumieniu alternatywnym innego pliku. Dlaczego jest to w ogóle możliwe? Otóż podczas projektowania narzędzia CERTUTIL, które musi umieć np. pobrać i zainstalować certyfikat w tle, nie zadbano o żadne ograniczenia: program potrafi pobierać dowolny plik z dowolnego miejsca i nie przejmuje się, czy to certyfikat, czy nie. A dlaczego jest to problem? Cóż, przeglądarki internetowe można chronić antywirusem i różnymi wtyczkami pilnującymi pobierania z nieznanych miejsc. Ale systemowego narzędzia do certyfikatów nikt nie będzie pilnować: nie jest to obcy kod, tylko zaufane narzędzie.

Podobnych przykładów są tuziny: okienko drukowania zawsze ładuje część swoich elementów graficznych, korzystając z konkretnej biblioteki (PrintDialog.DLL). Dzięki temu, możemy skopiować program z okienkiem w dowolne miejsce, w którym znajduje się jakiś złośliwy DLL o takiej nazwie. Kod z niego zostanie załadowany i bardzo często nie wzbudzi podejrzeń, ponieważ po pierwsze – nie jest plikiem EXE, tylko biblioteką, a po drugie – przecież załadowano go z użyciem „bezpiecznego” zaufanego komponentu systemu.

Taką klasę nadużyć ujęto pod nazwą „LOLBin”: Living-Off-The-Land Binaries. Czyli programy działające poza swoim wytyczonym obszarem. Aby spełniać definicję “LOLBin”, należy wykazywać jak najwięcej z niniejszych cech:

  • Być programem podpisanym cyfrowo przez Microsoft, najlepiej być komponentem samego systemu operacyjnego, co usuwa konieczność pobierania z internetu.
  • Posiadać opcję uruchamiania innych programów, najlepiej z parametrami. Dzięki temu możliwe jest omijanie odgórnie narzucanych „białych list” dopuszczalnego oprogramowania.
  • Zapisywać pliki wykorzystując funkcjonalność alternatywnych strumieni danych, pozwalających ukryć pliki wewnątrz innych plików. Jest to wbudowana i „legalna” funkcjonalność systemu plików NTFS, domyślnego w Windows.
  • Pobierać pliki z sieci lokalnej i z internetu. Ponieważ ograniczenia pobierania są zazwyczaj nakładane na przeglądarki i pocztę, a pobieranie z wykorzystaniem innych programów jest wykluczane białymi listami, systemowe programy, które można nakłonić do cichego pobierania potrafią być cenne.
  • Pomijanie ostrzeżeń Kontroli Konta Użytkownika. System Windows posiada wbudowany mechanizm minimalizacji uprawnień. Każdy program, nawet uruchamiany przez administratora, domyślnie pracuje na prawach ograniczonych, chyba że jawnie „poprosi” o wyższe. Wtedy na tzw. bezpiecznym (przyciemnionym) pulpicie pojawia się niesławny alert UAC, pytający o prawo do uruchomienia programu jako administrator. Ta nieoceniona funkcja, wprowadzona wraz z Vistą, była powszechnie niezrozumiana i znienawidzona, przez co Microsoft zdecydował się ją zepsuć: teraz ostrzeżenie pojawia się tylko, jeżeli prośba o uprawnienia pochodzi od programu niebędącego częścią systemu. Jeżeli więc uda się nakłonić element Windowsa do niecnych działań, ominie on alert UAC i sięgnie po prawa samodzielnie. Dlatego należy domyślnie ustawiać suwak UAC „na samą górę”, by pytał zawsze. Można to zrobić w Panelu Sterowania.

Pozostałymi cechami są: zdolność do kompilowania kodu (przykład wykorzystania wbudowanego w Windows kompilatora C# pojawił się na blogu dobrychprogramów), umiejętność przeszukiwania pod kątem poświadczeń – albo poprzez kradzież biletów, albo przez przeszukiwanie żywcem pod kątem jawnie zapisanych haseł w katalogu SYSVOL.

Narzędzi spełniających wybrane podzbiory powyższego zestawu jest mnóstwo. Co gorsza, wiele komponentów, o których mowa, zachowuje się w niebezpieczny sposób od dawna, np. od czasów systemu Windows 2000. Sytuacji nie poprawia to, że nowe wersje systemów świadomie demontują zabezpieczenia, a w dodatku dostarczają nowe programy, tworzone z użyciem złych praktyk (jak inaczej wytłumaczyć ładowanie biblioteki po nazwie i względnej ścieżce?).

Naprawa programów wykazujących szkodliwe LOL-tendencje jest bardzo mało prawdopodobna. Przede wszystkim dlatego, że bardzo często „tak ma być” i niekorzystne zachowanie jest po prostu działaniem zgodnie z założeniami projektowymi. Ponadto, istotne przebudowanie znanych narzędzi natychmiast doprowadzi do problemów z kompatybilnością. Wreszcie, liczba programów do poprawki jest tak duża, że zatrzymałoby to prace nad nowymi funkcjami Windows. Historia odnotowała już taki przypadek 15 lat temu, gdy rozwój systemu został zatrzymany celem porządnego załatania Windows XP, ale dziś jest to już całkowicie niewyobrażalne (choć konieczne).

Należy również mieć świadomość zastosowań dla odkryć takiego rodzaju. Dla samodzielnych, klienckich komputerów nie ma znaczenia, czy złośliwy kod jest pobieralny przez CERTUTIL, skoro użytkownik i tak otwiera program FAKTURA.EXE przesłany przez chińską Pocztę Polską. Ale w środowiskach monitorowanych, jak używane w firmach domeny Active Directory, takie cudaczne metody wykonywania kodu to horror. W najlepszym wypadku prowadzi do tak zwanych „ruchów lateralnych”: przechodzenia między komputerami bez podnoszenia uprawnień. Z punktu widzenia uwierzytelniania jest to działanie legalne, ale obiektywnie jest bez sensu i nieuchronnie musi oznaczać próby wyszukiwania słabości w sieci. O wiele gorszą kwestią jest praktyczna utrata kontroli nad badaniem procesów: o wiele łatwiej administratorom znaleźć program „chiński-trojan.exe”, afgański, niepodpisany „svchost.exe”, niż patrzeć, czy systemowy MOBSYNC.EXE zajmuje się synchronizowaniem dokumentów, czy właśnie kopie BitCoiny.

Wyczerpującą prezentację na temat LOLBin przedstawił niedawno Oddvar Moe (aż trudno uwierzyć, że to prawdziwe imię i nazwisko!), jeden z opiekunów projektu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na