В Windows 7-10, 0day с удалённым исполнением кода. Патча нет, ADV200006 Опции

[Console]

https://portal.msrc.microsoft.com/en-us/sec...isory/adv200006
https://habr.com/ru/company/itsumma/news/t/493824/
1.Отключить области предварительного просмотра в Проводнике Windows. В русскоязычной версии они называются «Область просмотра» и «Область сведений» (Preview Pane и Details Pane).

2.Отключить службу WebClient (Веб-клиент). Данная служба позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV, и обычно её можно безболезненно отключить.

3.Переименовать ATMFD.DLL или, как вариант, исключить файл из реестра.

Переименование ATMFD.DLL вызовет проблемы в приложениях, которые используют встроенные шрифты OpenType, так что некоторые приложения перестанут работать. Microsoft также предупреждает: ошибки при внесении изменений в реестр чреваты серьёзными проблемами, которые могут потребовать полной переустановки Windows.


Сообщение отредактировал Console - Apr 5 2020, 2:49

[imenno]

Нужно так же напомнить, чтобы ею, этой дыркой, воспользоваться, нужно скачать и запустить файл от злоумышленника. На него ругнется UAC и потом еще дополнительно подтвердить запуск файла с интернета с неизвестного источника. Тогда вот вы получите трояна, которым злоумышленник воспользуется, и начнет команды отправлять. Но если вы на NATом, за роутером вашим, это злоумышленнику усложнит задачу.

CODE Format

Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.


В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.


Пользователи Windows 10 могут расслабиться и спокойно ждать патча.

А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.

Сообщение отредактировал imenno - Apr 5 2020, 3:57

[Emissions]

А юзерам семерки быть на стрёме. Там все в одном месте и очень даже опасно. Вот и повод перейти на 10-ку.

пф.

повод поставить хороший антивирь, и не скачивать всякий гамной

[gonivo]

пф.

повод поставить хороший антивирь, и не скачивать всякий гамной

А без антивиря любую винду с любыми заплатками и обновами сожрут. Просто в 10-ке встроенный антивирь, что как бы намекает.

[Allex]

А без антивиря любую винду с любыми заплатками и обновами сожрут.

Это зависит исключительно от квалификации пользователя.

За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.

[gonivo]

Это зависит исключительно от квалификации пользователя.

За 30+ лет работы с ПК лично у меня ни одну машинку никто не сожрал. Антивирусами не пользуюсь, предпочитаю перекрывать способы попадания нечисти в машинку.

Бывает такое что не всегда от квалификации конкретного пользователя зависит. Рядом в сети может найтись секретарша с целым зоопарком на компе, который по сети (как сумнозвисный петя через smb) залезет на компы за которыми пользователи следят.