Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

forum.0day.community _ Взлом и Защита _ В Windows 7-10, 0day с удалённым исполнением кода. Патча нет

Автор: Console Apr 5 2020, 2:49

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
https://habr.com/ru/company/itsumma/news/t/493824/
1.Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).

2.Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.

3.Переименовать ATMFD.DLL или, как вариант, исключить файл из реестра.

Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.

Автор: imenno Apr 5 2020, 3:42

Нужно так же напомнить, чтобы ею, этой дыркой, воспользоваться, нужно скачать и запустить файл от злоумышленника. На него ругнется UAC и потом еще дополнительно подтвердить запуск файла с интернета с неизвестного источника. Тогда вот вы получите трояна, которым злоумышленник воспользуется, и начнет команды отправлять. Но если вы на NATом, за роутером вашим, это злоумышленнику усложнит задачу.

CODE Format
Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.


В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.


Пользователи Windows 10 могут расслабиться и спокойно ждать патча.


А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.

Автор: Emissions Apr 5 2020, 11:53

(imenno @ Apr 5 2020, 4:42) Перейти к цитате

А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.

пф.

повод поставить хороший антивирь, и не скачивать всякий гамной

Автор: gonivo Apr 5 2020, 16:28

(Emissions @ Apr 5 2020, 12:53) Перейти к цитате

пф.

повод поставить хороший антивирь, и не скачивать всякий гамной

А без антивиря любую винду с любыми заплатками и обновами сожрут. Просто в 10-ке встроенный антивирь, что как бы намекает.

Автор: Allex Apr 5 2020, 16:49

(gonivo @ Apr 5 2020, 17:28) Перейти к цитате
А без антивиря любую винду с любыми заплатками и обновами сожрут.

Это зависит исключительно от квалификации пользователя.

За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.

Автор: gonivo Apr 5 2020, 17:29

(Allex @ Apr 5 2020, 17:49) Перейти к цитате

Это зависит исключительно от квалификации пользователя.

За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.

Бывает такое что не всегда от квалификации конкретного пользователя зависит. Рядом в сети может найтись секретарша с целым зоопарком на компе, который по сети (как сумнозвисный петя через smb) залезет на компы за которыми пользователи следят.

Invision Power Board
© Invision Power Services