Windows Defender Application Guard for Microsoft Edge

Titkosítás, biztonság, privát szféra

A Microsoft szerint a böngészők jelentik az egyik legnagyobb biztonsági kockázatot a felhasználók számára. A vállalat felmérése szerint az adathalász levelek 90 százaléka a böngészőt használja fel a támadás elindítására, amelyen keresztül aztán a támadók bejuthatnak a vállalat hálózatára stb.

The threat landscape has changed significantly. 90% of ‘phishing’ attacks use a browser to open and initiate an attack. Microsoft Edge with Windows Defender Application Guard mode enabled on the Edge browser will protect enterprises from advanced attacks that can infiltrate your network and devices via the Internet, creating a safer, worry-free browsing experience for customers. This video describes how the capability

Éppen ezért a Microsoft egy új védelmi mechanizmust - Windows Defender Application Guard - vezet be. A mechanizmus lényege, hogy a virtualizációt hívja segítségül, az Edge böngésző egy konténerben / pehelysúlyú virtuális gépben fut.

( pepo v | 2016. 09. 27., k – 09:11 )

Ejha, feltalálták a spanyol "vigasz"-t. Szinte már úgy érzem, hogy chroot szagú a dolog.

( toshi_sanyoshi | 2016. 09. 27., k – 11:40 )

Jobb utolsóként rájönni erre, mint soha... Egek!

Azt ugye láttad, hogy a Chrome-ban és a Firefoxban több a felfedezett biztonsági rés?

Valamint a Flash plugin/Java plugin és társainak biztonságáért a MS, sem más OS/browser vendor nem tud felelni, így az OS/browser vendor meglépi azt, hogy konténerben futtatja.
Inkább a kérdés az: a többi OS-en hogyhogy nem lépték meg ezt még?

Nem használok windowst, de Edge-et ne hasonlítsuk már a Chrome/Firefox pároshoz. Elég, ha ránézel a piaci részesedésekre.
https://www.netmarketshare.com/browser-market-share.aspx?qprid=2&qpcust…

Edge esetében kevesebb értelme van sebezhetőségeket keresni, mivel arányaiban véve csak kevesen használják.

( Lacyc3 v | 2016. 09. 27., k – 23:37 )

Némiképp árnyalja a képet, hogy csak az Enterprise verzió kapja meg.

Én még olyat nem láttam, hogy a szkript titkosítana. A szkript letölt és elindít valamit ami titkosít. (Az User-agent Trident részéből arra tippelnék, hogy az IE segítségével)
A többiek nem tudod, hogy védekeznek de lehet, hogy az segít, hogy duplakattal nem futtatnak JS-t és társait (mostanába WSF is menő ha valaki még nem blokkolná). :)

Oké, a kérdés továbbra is adott. Van egy bash szkript, ami wget-tel letölt egy binárist, ami titkosít. Ezt a szkriptet a user egy email mellékletéből duplakattintással elindítja. Hol fogja meg OOTB a Linux ezt a támadást? Komolyan érdekel, azért kérdezem, mert nem tudom.

Szerintem, már az első pontnál elakad. :)
Persze, ha el tudja indítani (és van a rendszeren wget és a letöltött bináris is elindul a rendszeren) akkor így járt. :)
(és azért más egy bash script mint egy JS/whatever amit azért lehetne szabályozni, hogy mit csinálhasson és mit nem)

"Executing should be the default behavior."
https://bugs.launchpad.net/ubuntu/+source/nautilus/+bug/1433774

> és van a rendszeren wget és a letöltött bináris is elindul a rendszeren

És vajon mekkora effort írni egy olyat, ami mondjuk eldönti, milyen binárist töltsön le, vagy mit használjon wget helyett?

Nem értem, amit mondasz. Még nem láttam olyan desktop Linuxot, amiben a wget ne lett volna OOTB telepítve. Továbbra is áll a kérdés (és szabad azt mondanod, hogy "nem tudom"!), hogy a Linux mégis mivel véd meg egy ilyen támadástól? Konkrétan le sem kellene tölteni semmit, a bash szkript már önmagában elég a feladathoz.

Ha nem töltesz le semmit mégis, hogy? (vagy builtin ransomware is van a desktop linuxokban ?)
Titkosítani még tán-tán, de hogy fog szerencsétlen váltságdíjat követelni? (figyu már eltitkosítottuk a fájlaidat, de nekünk sincs meg a kulcs amivel vissza tudod állítani azért fizess már 5 BTC-t)

Megvédeni sehogy. De legalább nem implementál olyan baromságokat (rajtatok kívül senki szerintem), hogy egy .js-nek dupla kattra futnia kell (aminek támadási vektoron kívül kb. nulla gyakorlati haszna van).

Egyébként te érted, hogy miről beszélsz?

> Ha nem töltesz le semmit mégis, hogy?
Egyszeri user megnyitja az email csatolmányt, az megoldja a tényleges malware beszerzését. Ilyen szempontból mindegy, hogy .js vagy .sh a szkript kiterjesztés.

> figyu már eltitkosítottuk a fájlaidat, de nekünk sincs meg a kulcs
A ransomware lényege, hogy van kulcs, amit feltölt valahová.

> baromságokat [...] hogy egy .js-nek dupla kattra futnia kell
És? Linuxon simán elindul a .sh dupla kattra, mi a különbség?

Szerint konkrétan fogalmad sincs, hogy egy ransomware hogy működik, csak mondod a tutit, hogy bezzeg a .js milyen szar. Ami amúgy igaz is lehet, de Linuxra írni egy ugyanilyen malware-t pontosan ugyanolyan nehéz (= könnyű), mint Windows-ra. A támadási vektor ott is adott, csak más szkriptnyelven kell megírni. Egyébként _teljesen_ ugyanaz a folyamat.

Egyszeri user megnyitja az email csatolmányt, az megoldja a tényleges malware beszerzését. Ilyen szempontból mindegy, hogy .js vagy .sh a szkript kiterjesztés.

vs

Konkrétan le sem kellene tölteni semmit, a bash szkript már önmagában elég a feladathoz.

Most akkor melyik? :D

A ransomware lényege, hogy van kulcs, amit feltölt valahová.

Kulcsot biza nem tölt az fel sehova. (segítek: lefele tölt :))
Hogy ezt mennyire lehet üzembiztosan pusztán bash scriptből vagy akár js-ből mindenki döntse el maga. :)

Szerint konkrétan fogalmad sincs, hogy egy ransomware hogy működik, csak mondod a tutit, hogy bezzeg a .js milyen szar. Ami amúgy igaz is lehet, de Linuxra írni egy ugyanilyen malware-t pontosan ugyanolyan nehéz (= könnyű), mint Windows-ra. A támadási vektor ott is adott, csak más szkriptnyelven kell megírni. Egyébként _teljesen_ ugyanaz a folyamat.

Én nem mondtam, hogy a .js szar, azt mondom még nem láttam értelmes használatát mint "windows script" (de elhiszem neked, hogy létezik). Amúgy meg egy shellt hasonlítgatunk egy script nyelvvel. (de ez már csak a hab :))

Beszállok egy kicsit én is :)

Windowsnál be kell szerezni a tényleges malware-t, mert aki Windows-on akar GUI nélküli alkalmazást csinálni, az kb. így járt, hatalmas PITA. Tessék-lássék módon minden van a Windowsban, de ha használni is kell, akkor mindenből lecseréled az MS-est ;)
Linuxon meg szinte mindenhol alaptelepítésben ott van egy bash, egy openssl/gpg és egy wget/curl és ezzel kb. minden meg van, ami kell egy jófajta crypto scripthez :) [generálsz egy kulcsot, a privátot feltöltöd valahova a felhőbe, a publikussal rekurzívan cryptálsz, aztán echo-val (többnyire shell built-in!) kiraksz egy README.txt-t, hogy ígyjártál, user]

A hogyan védekezzünk Linux-on... .sh -> bash/dash társítás kivétele (egyébként szerintem alapból nincs is), noexec a /home-ra és a /tmp-re és korrekt backup a rendszerről, esetleg snapper :) Kb. mint Winen... esetleg tippre per-user systemd service-ként indítva a levelezőt (elvileg működne...) el lehet tőle venni az írási/olvasási jogot mindentől (ReadOnlyPaths)...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( phaidros | 2016. 09. 28., sze – 10:38 )

csókolom, jó reggelt, a melegvíz már megvan....
ehhez kellett nekik 20 év???

Hát, a firejail telepítése és a firectl használata után bármelyik Linux. Hasból, írom, de valami ilyesmi volna:


sudo apt install -y firejail
sudo apt install -y https://github.com/rahiel/firectl/releases/download/1.0/firectl_1.0-1_ubuntu_all.deb
sudo firectl enable firefox
sudo firectl enable thunderbird
sudo firectl enable chromium-browser

(Mellesleg ez már ezerszer le lett írva a HUP-on, én is itt tanultam.)