Автор: Console Apr 5 2020, 2:49
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006
https://habr.com/ru/company/itsumma/news/t/493824/
1.Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).
2.Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.
3.Переименовать ATMFD.DLL или, как вариант, исключить файл из реестра.
Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.
Автор: imenno Apr 5 2020, 3:42
Нужно так же напомнить, чтобы ею, этой дыркой, воспользоваться, нужно скачать и запустить файл от злоумышленника. На него ругнется UAC и потом еще дополнительно подтвердить запуск файла с интернета с неизвестного источника. Тогда вот вы получите трояна, которым злоумышленник воспользуется, и начнет команды отправлять. Но если вы на NATом, за роутером вашим, это злоумышленнику усложнит задачу.
CODE Format
Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.
В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.
Пользователи Windows 10 могут расслабиться и спокойно ждать патча.
А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.
Автор: Emissions Apr 5 2020, 11:53
(imenno @ Apr 5 2020, 4:42)
![Перейти к цитате](style_images/0day[1]/message_quote_arrow.svg)
А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.
пф.
повод поставить хороший антивирь, и не скачивать всякий гамной
Автор: gonivo Apr 5 2020, 16:28
(Emissions @ Apr 5 2020, 12:53)
![Перейти к цитате](style_images/0day[1]/message_quote_arrow.svg)
пф.
повод поставить хороший антивирь, и не скачивать всякий гамной
А без антивиря любую винду с любыми заплатками и обновами сожрут. Просто в 10-ке встроенный антивирь, что как бы намекает.
Автор: Allex Apr 5 2020, 16:49
(gonivo @ Apr 5 2020, 17:28)
![Перейти к цитате](style_images/0day[1]/message_quote_arrow.svg)
А без антивиря любую винду с любыми заплатками и обновами сожрут.
Это зависит исключительно от квалификации пользователя.
За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.
Автор: gonivo Apr 5 2020, 17:29
(Allex @ Apr 5 2020, 17:49)
![Перейти к цитате](style_images/0day[1]/message_quote_arrow.svg)
Это зависит исключительно от квалификации пользователя.
За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.
Бывает такое что не всегда от квалификации конкретного пользователя зависит. Рядом в сети может найтись секретарша с целым зоопарком на компе, который по сети (как сумнозвисный петя через smb) залезет на компы за которыми пользователи следят.