|
С излизането на Fall Creators Update за Windows 10, Microsoft анонсира входа на извънредно полезна защитна функционалност, която е вградена в операционната система. Става дума за “Контрол на достъпа до папки” (Control folder access), целящ защитата от рансъмуер – характеристика, която ви гарантира, че даже и да станете жертва на криптовирус, част от информацията ви ще остане незасегната. Въпросната функционалност е част от Windows Defender Exploit Guard и посредством нея може да определите кои програми може да получават достъп до определени папки. Системата следи в реално време какво се случва и ако програма, на която не е разрешено предварително да достига определени части от Windows, тя няма да може да го направи. На теория. На практика обаче може би не е така. Поне според Яго Жезус, специалист по информационна защита, който обяснява, че функцията може да бъде преодоляна лесно от легитимно приложение, например MS Office. Оказва се, че в дизайна на характеристиката има пропуск. По подразбиране, на изпълнимите файлове на Ofiice им е разрешено да правят промени по файловете в защитените папки, даже и ако злоумишленик използва OLE/COM обекти, за да манипулира тези файлове. “По този начин, автор на рансъмуер програма може да изготви софтуера си да използва подобни обекти, за да променя, изтрива или криптира файлове без знанието на собственика на системата. Освен това, Windows Defender няма да регистрира зловредна дейност, понеже програмата ще използва вградената в MS Office функционалност за криптиране. Според Жезус, това прави контролирания достъп до папки напълно безполезен. Същият метод може да бъде приложен и към изображения, PDF и друг тип файлове, които могат да бъдат редактирани от Office. “Макар и тази функция да цели защитата от рансъмуер, то тя не успява да отговори на всеки един сценарий. Използването на Office файлове, която е описана по-горе, представлява ефективен начин за разпространителите на зловредни програми да избягват засичането от антивирусни инструменти”, коментира на свой ред Лени Зелтцер от Minerva LAbs. Жезус информира Microsoft, които на свой ред признават за съществуването на този пропуск, но в същото време са категорични, че Defender Exploit Guard не представлява граничен периметър на сигурността. Както откритието на Жезус, така и отговорът на Microsoft провокираха интереса на специалистите. “Честно казано смятам, че това представлява класически пример за подвеждане”, споделя за SecurityWeek Джоузеф Карсън от Thycotic. “Това е все едно да поставите пазач на входа на сградата, който да проверява всеки, желаещ да влезе, че има нужното разрешение за това и в същото време да сте оставили широко отворена задната врата. Това е фалшиво чувство за сигурност, тъй като един вид разчитате на това престъпниците да са честни. Когато слагате име на един продукт “Защитник на Windows” (Windows Defender) или използвате име като Defender Exploit Guard, и сте алармиран от специалист за пропуск в сигурността, то е ясно, че ще спазите юридическата коректност, изтъквайки, че “ние не класифицираме това като уязвимост в защитата, тъй като Defender Exploit Guard не е предназначен да е гранична защита”, възмущава се Карсън. Той предполага, че този пропуск може вече и да е и използван в атака и компаниите е добре да не разчитат единствено на Windows Defender за защита на активите си, особено щом самите Microsoft заявяват, че програмата не представлява “граница на защитата”. “Веднага сменете името от това, което е в момента и не подвеждайте хората във фалшиво чувство за сигурност и защитеност”, съветва той. |
|
