Systemy Windows z luką nie do załatania

Wszystkie aktualne wersje systemów z rodziny Windows są podatne na atak typu „Process Doppelgänging” – poinformowali spece od łamania i omijania zabezpieczeń podczas tegorocznej edycji europejskiej konferencji Black Hat. Najgorsze zaś jest to, że niemożliwe jest załatanie tej „luki”, ponieważ znajduje się ona w samych fundamentach.

Dobra wiadomość jest taka, że przeprowadzenie ataku typu „Process Doppelgänging” jest bardzo skomplikowane (a wiedza na ten temat jest – przynajmniej na razie – niedostępna dla przeciętnego cyberprzestępcy). Niestety musimy też wspomnieć o kolejnych złych wiadomościach: 1) wkrótce część wiedzy zostanie „odtajniona” przez badaczy i 2) przed atakiem nie uchroni też oprogramowanie antywirusowe.

Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 i Panda, a nawet wykorzystywane przez śledczych Volatility – wszystkie poległy, niezależnie od tego, czy były zainstalowane na komputerze z systemem Windows 7, Windows 8.1 czy Windows 10. Przed czym jednak konkretnie nie uchronią one swoich użytkowników?

„Process Doppelgänging” to opracowany przez ekspertów z firmy enSilo typ ataku, który opiera się na modelu „sobowtóra” (od którego pochodzi zresztą nazwa). Odkryli oni mianowicie, że – w uproszczeniu – możliwa jest zmiana zawartości pliku bez zapisu modyfikacji na dysku i wykorzystanie go w „teoretycznie” prawidłowym procesie. 

Wszystko to dzięki wykorzystaniu systemowych mechanizmów transakcji NTFS i tworzenia procesów. Komputerowi wydaje się więc, że wszystko jest w porządku, podczas gdy w rzeczywistości ładowany jest „szkodnik”. Szczegóły na ten temat będą przedstawiane w najbliższych dniach.

Źródło: BleepingComputer, ZDNet. Foto: scottyuk30/Pixabay (CC0)