UAC и неравная борьба с вирусами. Кто кого?

UAC и неравная борьба с вирусами. Кто кого?

 UAC и неравная борьба с вирусами. Кто кого?

Очень важно обеспечить возможность передачи привилегированных прав (и потенциально опасных) только тому программному обеспечению, которое обоснованно требует их предоставления. Механизм UAC, существующий в операционных системах Windows Seven и Vista, позволяет пользователям запускать программы с административными полномочиями только при неизбежной необходимости для задач администрирования компьютера. 

Контроль учетных записей (UAC) был, вероятно, первой новой функцией Windows Vista, встречу с которой  не смогли избежать большинство пользователей, и которая благодаря этому получила значительное внимание сразу после релиза операционной системы, рассказывает блог Microsoft по безопасности.  Со временем, особенно с выпуском Windows 7, количество сценариев работы UAC, требующих реакции пользователя, было уменьшено. Многие считают запросы, поступающие от контроля учетных записей назойливыми, но абсолютно ясно -  больше всех функцию UAC ненавидят именно авторы вредоносного программного обеспечения.

Когда функция UAC был представлена, вердикт авторов вредоносного программного обеспечения был удивительно единодушным – обойти стороной. Внедрение контроля учетных записей стало принципиальным изменением по сравнению с Windows XP, и на всех подпольных форумах о вредоносном программном обеспечении указанный подход считался универсальным. Просто вместо запуска вируса с правами администратора из расположений доступных с правами администратора теперь приходилось запускать его в пользовательском профиле с пользовательскими же правами. К сожалению, это совершенно не было проблемой для вирусописателей. Однако для вредоносного программного обеспечения действительно становилось очень трудным заполучить права администратора, что и было целью создания UAC, большинство вредоносного программного обеспечения пыталось обойти эту проблему стороной.

В то время как тактика обхода UAC остается популярной, Microsoft Malware Protection Center обнаружил целый класс  вредоносного программного обеспечения, которое стремится к тому чтобы отключить контроль учетных записей в принципе. Вирусное ПО делает это, чтобы препятствовать обнаружению пользователем запуска вредоносных модулей благодаря запросам UAC после каждой перезагрузки. Семейство вирусов Sality, руткиты Alureon, поддельные антивирусы вроде FakePAV, распространяющиеся через уязвимости автозапуска черви и банковское трояны Bancos - все они имеют модификации, выключающие UAC. Со временем это стало настолько распространенным приемом, что в антивирусном ПО Microsoft Security Essentials, Windows Intune, и Forefront Endpoint Protection было внедрено использование поведенческого мониторинга, чтобы обнаруживать программы, которые пытаются управлять настройками UAC, и Microsoft Malware Protection Center регулярно регистрирует совершенно новое вредоносное программное обеспечение, запрещающее UAC.

Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск. К сожалению, многие пользователи Windows отключают UAC сами. В то время как авторы вирусов всеми силами стараются избежать срабатывания UAC, легитимный софт так же совершенствуется в направлении уменьшения количества сценариев работы, требующих повышения привилегий, таким образом количество запросов, поступающих от UAC сейчас достигло своего минимума, что позволяет легко отслеживать любую действительно подозрительную активность.

В ниже приведенном списке мы можем наблюдать 5 наиболее популярных угроз, поразивших компьютеры с отключеным контролем учетных записей пользователей. Например, черьв Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей. А такие программы, например, как SideTab и OneScan, наоборот, используют технологии "социальной инженерии", чтобы добиться повышения привилегии и затем опять же отключить UAC.

Угроза, поразившая компьютер  Как часто UAC отключена
Worm:Win32/Rorpian.gen!A 95%
Worm:Win32/Rorpian.E!lnk 92%
Worm:Win32/Rorpian.E!inf 92%
Adware:Win32/SideTab 82%
Rogue:Win32/Onescan 68%


Ежедневно 23% компьютеров, антивирусное ПО которых сообщило серверам статистики о обнаружении заражения, работают с отключенным контролем учетных записей. В то время когда некоторые вирусы целенаправленно отключают UAC, другие гораздо менее успешны в своей вредоносной деятельности если UAC находится в активном состоянии.

Для того, чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов. Если вы обнаружили вирус, зайдите в панель управления и убедитесь, что функция UAC включена. Если она отключена, то включите её, это легко сделать. В последствии изредка вы будете видеть запросы на подтверждение повышения привилегий приложения, в случае возникновения сомнении просто выбирайте вариант "нет".

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru