Aktívan kihasznált, távoli kódfuttatást lehetővé tevő sebezhetőséget javított a Microsoft a Defender-ben

Microsoft, Windows

A Microsoft 83 sebezhetőséget javított a januári "Patch Kedd" keretében. Köztük a CVE-2021-1647 alatt futó, jelenleg is aktívan kihasznált, Microsoft Defender-t érintő, távoli kódfuttatást lehetővé tevő sérülékenységet.

( Ritter | 2021. 01. 13., sze – 09:39 )

Azért az szép, amikor a malware védelmi szoftver maga a támadási pont, ráadásul távoli kódfuttatással! :D

Flashback:

https://hup.hu/cikkek/20110224/a_microsoft_sajat_malware_ellenes_alkalm…

A Microsoft saját malware ellenes alkalmazásai tesznek lehetővé helyi privilégiumszint-emelést

Mondhatnák, hogy olyan, mint amikor valakit agyonvernek a saját falábával.

Joggal kérdezhetnéd, hogy mi a közös a kettőben: az mpengine.dll

trey @ gépház

Mondjuk ahogy a mai bongeszok a renderelest. Fogsz egy kulon processt, ami sandboxban fut. Azzal analizaltatod a potencialis malware-t, es csak egy oke/nem oke jon vissza. A privilegizalt resze lehet egyszeru, mert alig csinal valamit. Az analizaloban meg ha marad pl. egy buffer overrun, nincs semmi, megtortek a sandboxot, ami a kovetkezo analiziskor ugyis ujraindul, es - idealis esetben - nem tud hozzaferni semmihez.

A strange game. The only winning move is not to play. How about a nice game of chess?

sandboxos cuccnak nem kell admin jog. van a masik process aki fut adminnal, eler mindent IS. es valahogy atadja a biteket az sandboxos analizalo processnek. aztan ha az megnyekken, akkor ujraindul, es analizal tovabb.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A sebesseg reszet meg lehet oldani (nyilvan van valami overheadje). Ha a Chrome rendereleset megoldottak igy, akkor szerintem a security programot is meg lehetne oldani, nem uj otlet.

Valamelyik (kis) reszenek nyilvanvaloan kell az admin jog, de az a resze eleg egyszeru maradhat a virusanalizatorehoz kepest, szoval a bug nem abban a reszeben lesz. Ahogy egy webservernek is kell a root jog, hogy megnyithassa a 80-as/443-as portokat (vagy valami egyeb, 1024 alattit), de amint megoldotta, elengedi, es sima (korlatozott) userkent fut tovabb amikor a bongeszokkel kommunikal. Ugy biztonsagosabb.

A strange game. The only winning move is not to play. How about a nice game of chess?

Nem éppen példátlan a vírusirtók között:

"The esets_daemon service in ESET Endpoint Antivirus for macOS before 6.4.168.0 and Endpoint Security for macOS before 6.4.168.0 does not properly verify X.509 certificates from the edf.eset.com SSL server, which allows man-in-the-middle attackers to spoof this server and provide crafted responses to license activation requests via a self-signed certificate. NOTE: this issue can be combined with CVE-2016-0718 to execute arbitrary code remotely as root."

Innen

"AVG Remote Administration version 13.0.0.2892 suffers from authentication bypass, remote code execution, missing entity authentication, and use of static encryption key vulnerabilities."

Itt

Ha 1 milliárd gépen legalább ez fut, mintsem egyáltalán semmi, már az is óriási előrelépés. Ha csak a gépek 0,001%-n enged át kártevőt (ami egész jó arány SZERINTEM), mert 100% védelem ugye nincs. Cserébe be lehet állítani h. akár 4 óránként töltse le a def. update-t, így bármi új vackot ami bárhol a világon már detektálva lett, máris tud blokkolni.

Mcafee sem különb semmivel, sőt. Ott mégis fizetnek cégek milliói vagyonokat a biztonság illúziójáért.

( elod v | 2021. 01. 13., sze – 16:02 )

Mintha más antivírusban nem lenne. Egyáltalán nem érzem gáznak.

Minden lényegtelen (jó, nem jó) csak a kódkarbantartás számít, mert a win része, mindig fut és mindenhez hozzáfér.

Az arányt kell érezni, mennyi féle más írtó van a gépeken.

Az ingyenes szarok nem példa mert azért nem fizettél, így ne várj érte bármit, a winért (jobb esetben) igen és ez a része ha akarod ha nem.

A Windows 10 Redstone 1 update után ez már nem minden esetben igaz.

A Windows 10 1607-es buildjától kezdve akkor is futtat periodikus ellenőrzéseket, ha van másik vírusírtó telepítve a gépre. (kivéve, ha külön kikapcsolod, vagy tartományba léptetett gép)
A Redstone 5 update után pedig, ha a 3rd party vírusírtó folyamata nem védett folyamatban fut, akkor még a valós idejű ellenőrzést is visszakapcsolja a Defender.

Nagy Péter

ez csak egyéni elhatározás kérdése, az viszont nem, hogy megbízom egy "védelmi" rendszerben, ami lyukas mint az ementáli... Mi a jobb megoldás, vigyázni, vagy felelőtlennek lenni, mondván úgy is megvéd majd a defender?!..

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Bármelyik AV, vagy beépített védelmi mechanizmus (UAC, letöltött fájlok blokkolása, smart sceen, exploit guard..etc) csak mankót tud
nyújtani azoknak, akik nem tudják felmérni, hogy milyen kockázattal jár mondjuk egy bináris futtatása.
Kárhoztatni sem tudom őket, mert ők csak használni szeretnék az eszközt és nem tehet arról, hogy milyen irányba ment a popszakma..

Ennek a Store a megfelelője Windows alatt, azzal a különbséggel, hogy sandbox-ban futnak az UWP-s alkalmazások. 

Szerintem nyugodtan kijelölhetne a Microsoft egy dátumot, ahonnan a win32 már nem lesz elérhető az alap telepítéskor, code signing jelenlegi megkövetelése halottnak a csók. 

Hát sajnos nem teljesen. Bár nincs milliónyi app a Store-ban mint a Google Play-ben, de épp elég sok van ahhoz, hogy ne lehessen átlátni, ellenőrizni. Továbbá nem követelmény a nyílt forráskód sem. 

Természetesen a www.download-somewhere.cc -nél jobb a Store, mert legalább automatizált malware ellenőrzésen átesnek az onnan letöltött appok. De ez messze nem ugyanaz mint amikor Debian-ban a forráskódot ismerő maintainer maga készíti el forráskódból és esetleg hozzáadott patchekből a bináris .deb csomagot. 

A Sandbox jó dolog de az másról szól. Annak a Linuxos megfelelője a Docker csomag, illetve gui programoknál a Snap, AppImage, Flatpak. 

Ha az a "rendőrség" a microsoft által fizetett/üzemeltetett, akkor inkább had gondoskodjon mindenki a saját biztonságáról.

Főleg, hogy ez csak egy OS vagy mi a szösz - nehogy már ő mondja meg mi a "jó" és mi a "rosz".

lásd még: upgrade után "véletlenül" eltűnő 3rd party alkalmazások.

zrubi.hu

Ezt már sok országban bevallották, nálunk is, a rendőrség nem tud mindenkit megvédeni, meg úgy általában senkit, csak ha éppen kamerán látszik a bűntény és közelben van intézkedni képes egyén (legtöbbször csak tüzet oltanak vagy már csak hamut típornak)

Omnipotenciához Isteni képességek kellenek.

( hajbazer v | 2021. 01. 14., cs – 13:17 )

Íme a megszámlálhatatlanul sokadik eset, amikor maga a (természetesen a rootnál is rootabb jogokkal futó) védelmi™ szoftver sebezhető, babzsákfejlesztőék inkompetenciái miatt.

Továbbra is biztonságosabbnak és erőforráshatékonyabbnak tartom, ha egy haladó, biztonságtudatos felhasználó anti-virus nélkül használja a számítógépét, mintsem hátradőlve-kényelmeskedve-tapicskolva élvezkedne egységsugarú Internet-fogyasztóként, orrba-szájba kattintgatva minden szarra.

Ez már régóta köztudott, hogy Linuxszal ez elkerülhető lenne, nem titok. Csak hát Linuxot azt nem, mert nem megyen rajta a DRM-es proprietary Win only szutyok (vagy annak a drivere), meg nemgyűttmégelalinukszdeszktopéve, és GDI is 5%-kal kevesebb procit eszik kirajzoláskor, ha görgetsz (az megint más, hogy maga a rendszer akkor is gyorsabban és gördülékenyebben futna Linux alatt). Az a baj, hogy az emberek nagy része lusta és mazohista, szűk látókörűségből szándékosan szopatja saját magát. Szívjanak csak szépen a népek, élvezzék a mindenféle antivírus és security bloat csomagok ilyen mpengine.dll-es ajándékait, telemetriástól, meg a teszteletlen béta update-ekre frissítési kényszerestől. Aztán meg sírnak, hogy jajj a MS, jajj sérülékeny, 400 millió möhöő, profitmultik megszüntették a támogatást, stb..

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

és GDI is 5%-kal kevesebb procit eszik kirajzoláskor

Nem 5%-kal, hanem minimum 50%-kal.

az megint más, hogy maga a rendszer akkor is gyorsabban és gördülékenyebben futna Linux alatt

Egyáltalán nem. A görgetés csak egy a szokszáz közül, ami lassabban és kevésbé gördülékenyebben megy.

az emberek nagy része lusta és mazohista

Igen, például a magadfajták terminálos alkalmazásokkal és csakazértmertopensource alulfejlesztett, rosszabb esetben scriptnyelven írt idealizmusokkal akar megoldani mindent, amire Windows-on van natív, optimalizált alternatíva (és még Windows XP-n is).

szűk látókörűségből szándékosan szopatja saját magát

A szűklátókörűség szerintem ott kezdődik, hogy a hatékonyságot, a stabilitást és a professzionalitást alsóbbrendű dolgoknak tartod, mint a tényt, hogy egy alkalmazás nyílt forrású vagy magasabb verziószámú.

jajj sérülékeny

Mondd a tech-lakájmédiának, hogy ne FUD-oljon ezzel. Én máig nem nyalom be és nem is hisztizek miatta hogy sérülékeny, hanem megteszem a szükséges óvintézkedéseket.

A többivel egyébként egyetértek, csakhogy Windows XP-ben nincs telemetria és Windows 7-ből is kiszedhető.

Kellő odafigyeléssel a támadások 99%-át el lehet kerülni. Viszont nem gondolom, hogy ha egy biztonságtudatos felhasználó anti-vírus stoftver megléte mellett használja ésszel a számítógépet, az rosszabb lenne, mint nélküle, hiszen több szem többet lát. (és nem, nem a defenderrel, azzal leginkább csak a gond van)
Ha a felhasználó nem téveszt, a vírusírtó sosem fog bejelezni neki, de ha mégis tévesztene, még van egy második esélye, hogy megússza.

Arról mondjuk nem volt eddig sem tévképzetem, "egységsugarú Internet-fogyasztóként, orrba-szájba kattintgatva minden szarra" idővel elkap a gép valamit, akár van vírusírtó a gépen, akár nincs. Viszont ha ilyen a felhasználó, akkor sem ront a helyzeten a vírusírtó megléte, inkább csak olyan, mint egy biztonsági öv a kocsiban. Ha már megtörtént a gond, még esetleg megmenthet.

Nagy Péter

Mint írtam is, az idézett mondat végén: "és nem, nem a defenderrel, azzal leginkább csak a gond van"

Ráadásul mint írtam, biztonságtudatos felhasználóra mondtam. Nem arra, aki olyan chat programot tart a gépén, ami kérdés nélkül elfogad minden küldött állományt, vagy olyan levelezőt, ami kérés nélkül offline letölti a levelek mellékleteit, és legfőképp nem töltünk le az internetről ismeretlen forrásóból kétes állományokat. Ha már a jóváhagyásunk nélkül tud valaki fájlt küldeni a gépünkre, onnantól szerintem teljesen mindegy, mi fut a háttérben még.

Nagy Péter

( crypton | 2021. 01. 15., p – 13:48 )

Feature lesz az, nem bug ;) A Defender egy távoli kódfuttatást lehetővé tévő eszköz :D