2019/05/15 16:53:21

Безопасность Windows

Безопасность операционной системы Windows, компании Microsoft.

Содержание

2019

Критическая уязвимость в Windows может вызвать эпидемию масштаба WannaCry и Petya

15 мая 2019 года компания Ростелеком-Solar сообщила о критичной уязвимости, которая грозит очередной волной массовых вирусных заражений. Уязвимости CVE-2019-0708 подвержены операционные системы семейства Windows. Она позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой рабочей станции или сервере.

Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя протокол RDP. Таким образом, в случае если системная служба опубликована на периметре, уязвимость можно проэксплуатировать непосредственно из сети интернет, без использования специализированного вредоносного ПО.

«
В случае, если будет создано вредоносное ПО, использующее эту уязвимость, оно сможет распространяться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, который в 2017 году нанес ущерб организациям по всему миру. На май 2019 года уязвимость актуальна для прямой атаки из Интернета, как это было в случае WannaCry, для нескольких десятков организаций в России и более 2 млн организаций в мире. Риски реализации более сложной атаки актуальны для практически всех компаний, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью EternalBlue.
Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar
»

Если на внешнем периметре организации есть ранее опубликованный сервис RDP для уязвимой операционной системы – рекомендуем немедленно закрыть этот доступ. Вне зависимости от его наличия необходимо оперативно установить патчи, выпущенные Microsoft, а до того – по возможности ограничить использование протокола внутри организации. Необходимо отнестись к этой ситуации со всей серьезностью, поскольку уязвимости может быть подвержена организация любой отрасли.

В Windows 10 закрыты две опасные уязвимости, открывающие доступ к компьютеру жертвы

22 марта 2019 года компания Positive Technologies сообщила, что ее эксперт Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10.

«
Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами. В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы.
Михаил Цветков, эксперт Positive Technologies
»

Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью. Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии.

Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей.

Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов (CVE-2019-0726) или сообщить в DHCP-ответе аномально большое количество опций (CVE-2019-0697).

2018

Windows 10 отправляла данные о действиях пользователей в Microsoft

После выхода Windows 10 на Microsoft обрушился шквал негодования, вызванный тем фактом, что ОС «шпионила» за пользователями. Об этом стало известно 13 декабря 2018 года. Хотя компания в итоге внесла изменения (в виде бесчисленного множества опций, которые еще нужно запомнить), дополнительные переключатели на деле мало чем помогают.

В обновленных версиях Windows 10 есть функция «Журнал действий» («Activity History»), позволяющая возвращаться к действиям на устройствах и просматривать историю этих действий на временной шкале при условии, что функция включена («Журнал действий активирован по умолчанию, но его можно отключить).

Временная шкала работает, если включены параметры:

  • «Сохранить мой журнал активности на этом устройстве» на странице «Параметры журнала действий»;
  • «Отправить мой журнал активности в Майкрософт»;
  • «Показывать действия в определенных учетных записях».

Понятно, что первый параметр позволяет отслеживать действия пользователя, а второй отправляет эти данные Microsoft. Тем не менее, даже если отключить все три опции, соответствующие данные все равно будут отображаться на странице account.microsoft.com. Даже если отключить «Журнал действий» через редактор групповой политики, информация по-прежнему будет собираться и отображаться. Можно отключить загрузку и публикацию действий пользователей, но и это не поможет[1].

В Windows нашли файл, собирающий пароли и сообщения e-mail

В сентябре 2018 года стало известно о существовании в Windows секретного файла, в котором хранятся пароли и переписки по электронной почте. Проблема актуально для пользователей устройств с сенсорными дисплеями. Подробнее здесь.

2017

Рекомендуемые стандарты безопасности для устройств под Windows 10

В начале ноября 2017 года Microsoft опубликовала список рекомендуемых стандартов безопасности для устройств под управлением Windows 10. Стандарты включают в себя ряд требований к аппаратному и программному обеспечению, гарантирующих защиту устройства.[2]

Требования к аппаратному обеспечению разделены на 6 категорий: поколение процессора, архитектура процессора, виртуализация, криптографические спецификации Trusted Platform Module (TPM), верификация загрузчика и оперативная память.

  • В Microsoft рекомендуют использовать процессоры Intel и AMD 7-го поколения, которые включают режим Mode based execution control (MBEC), обеспечивающий дополнительную безопасность ядра.
  • Требования к архитектуре процессора включают наличие 64-разрядного процессора, поскольку только в них доступна функция безопасности на основе виртуализации (Virtualization-based Security, VBS).
  • Устройства под управлением Windows 10 должны поддерживать Intel VT-d, AMD-Vi или ARM64 SMMU для использования возможностей виртуализации устройств ввода-вывода (Input-Output Memory Management Unit, IOMMU). Для использования функции трансляции адресов второго уровня (Second Layer Address Translation, SLAT) процессоры должны поддерживать Intel Vt-x с технологией Extended Page Tables (EPT) или AMD-v с функцией Rapid Virtualization Indexing (RVI).
  • Рекомендуемым компонентом является криптографическая спецификация Trusted Platform Module — аппаратный модуль, интегрированный в компьютерный набор микросхем, либо приобретенный в виде отдельного модуля для поддерживаемых материнских плат, который отвечает за безопасное генерирование криптографических ключей, их хранение, безопасную генерацию случайных чисел и аппаратную аутентификацию.
  • Функция верификации загрузчика платформы не допускает загрузку прошивки, разработанной кем-либо, кроме производителя системы.
  • Оптимальный объем оперативной памяти — не менее 8 ГБ.

В то же время, Microsoft выдвигает следующие требования к программному обеспечению устройства:

  • Система должна иметь прошивку, в которой реализован интерфейс Unified Extension Firmware Interface (UEFI) версии 2.4 или выше.
  • Система должна иметь прошивку, в которой реализован UEFI Class 2 или UEFI Class 3.
  • Все драйверы должны быть совместимы с инструментом Hypervisor-based Code Integrity (HVCI).
  • Прошивка системы должна поддерживать UEFI Secure Boot. Данная функция должна быть активирована по умолчанию.
  • В прошивке системы должен быть реализован инструмент Secure MOR revision 2.
  • Система должна поддерживать спецификацию обновления прошивки Windows UEFI Firmware Capsule Update.

Обвинение Голландии в нарушении конфиденциальности данных граждан

В октябре 2017 года Голландский департамент охраны персональных данных (Dutch Data Protection Authority, DPA) обвинил Microsoft в нарушении местных законов о конфиденциальности информации, принадлежащей людям, которые пользуются компьютерами на операционной системе Windows 10.

Регулятор пришел к выводу, что Microsoft не информирует пользователей о том, что компания постоянно собирает данные об используемых приложениях и посещениях интернет-страниц в браузере Edge, когда тот запускается с настройками по умолчанию.

Власти Голландии обвинили Microsoft в нарушении закона о защите данных в Windows 10
Власти Голландии обвинили Microsoft в нарушении закона о защите данных в Windows 10

Критика DPA также связана с тем, что Microsoft не сообщает клиентам о типе собираемых данных и целях этих действий. Кроме того, практика американской компании не предполагает того, чтобы люди могли давать реальное согласие на обработку своих персональных данных.

«
Оказывается, что операционная система Microsoft следит за каждым шагом, который вы делаете на своем компьютере. Это приводит к навязчивому вторжению в вашу учетную запись, — говорит вице-председатель DPA Вилберт Томесен (Wilbert Tomesen). — Что это значит? Знают ли люди об этом, хотят ли они этого? Microsoft должна предоставить пользователям справедливую возможность самим решить это.
»

Если компания не устранит все эти нарушения, на нее могут быть наложены санкции, в том числе штраф, добавляют в DPA.

Microsoft не раз критиковали за свое отношение к вопросам конфиденциальности. В обновлении Creators Update для Windows 10 появилась новая структура настроек приватности, однако в DPA утверждают, что этот апдейт не устраняет нарушения, выявленные в ходе расследования.

По данным Голландского департамента охраны персональных данных, к октябрю 2017 года в Нидерландах насчитывается более 4 млн активных устройств на базе Windows 10 Home и Pro.[3]

Какие данные собирает Windows 10: официальный список

7 апреля 2017 год компания Microsoft опубликовала официальный перечень пользовательских данных, собираемых ОС Windows 10.

Вместе с этим заявлением корпорация внесла изменения в настройки приватности Windows 10. Теперь каждый пользователь вправе выбрать из двух пакетов информации, который будет собирать о нем его система – базовый или расширенный. Эти изменения входят в состав апдейта ОС Creators Update, запланированного на 11 апреля 2017 года[4].

Реклама Creators Update, (2017)
Реклама Creators Update, (2017)

Собираемая информация:

  • все установленные на ПК приложения, включая удаленные,
  • слежение за работой сети подключения,
  • учет подключаемых периферийных устройств:
    • клавиатуры,
    • мыши,
    • принтеры,
    • накопители
    • и т.п.

  • сбои системы,
  • обновления,
  • дата приобретения лицензии,
  • производительность компьютера,
  • браузеры

    • история посещений,
    • поисковые запросы.

Для анализа в США система отсылает данные о выбранном языке интерфейса, названии и версии.

Это относится к действующей на 7 апреля 2017 года версии системы. После установки Creators Update каждый пользователь сможет выбрать базовый пакет отсылаемых данных, количество которых в нем сокращено вдвое. В этот набор входят данные о качестве работы ОС, информация о компонентах компьютера и сведения о совместимости приложений. Полный пакет не отличается от действующего.

Microsoft не сообщила - что потребует от пользователя в обмен на активацию базового пакета телеметрии, поскольку, если он будет полностью бесплатным, никто не станет выбирать полный пакет. Ожидать опцию полного отключения слежения не стоит.

2016: Windows Subsystem for Linux способна спрятать вирусы

13 сентября 2017 года стало известно о наличии в подсистеме Windows Subsystem for Linux потенциала для сокрытия вредоносного ПО.

В марте 2016 года Microsoft объявила о поддержке командного интерпретатора bash в Windows 10. Для этого компания вместе с Canonical создала подсистему Linux - Windows Subsystem for Linux, WSL. Она поддерживает запуск Linux-приложений без использования контейнеров виртуализации, отдельной пересборки утилит и без использования ядра Linux — нативные исполняемые файлы ОС запускаются посредством специальной прослойки, "на лету" транслирующей системные вызовы Linux в системные вызовы Windows[5].

WSL создавался как проект, независимый от конкретных дистрибутивов Linux. Однако, в первой версии уже оптимизирован для работы с Ubuntu. В Windows 10 появилась поддержка openSUSE Leap, и после обкатки WSL в пользовательской версии Windows Microsoft решила добавить ее в серверную редакцию операционной системы. По прошествии нескольких месяцев с момента появления WSL в «десятке», прозвучали мнения аналитиков - подсистема может послужить препятствием для обнаружения вирусов.

По мнению экспертов Check Point, с помощью WSL на ПК можно запускать ряд известных вредоносов, делая их незаметными для наиболее распространенных инструментов защиты от вирусов. Проблема не в WSL, отметили эксперты, а в беспечности разработчиков антивирусного ПО и систем безопасности.

Метод, разработанный специалистами, позволяет незаметно запускать любое вредоносное ПО в Windows 10. Злоумышленники имеют перспективы до поры, пока не будет создан эффективный механизм защиты ПК с Windows 10 и WSL. Этот метод получил название bashware, поскольку он использует командную оболочку bash, через которую запускаются Linux-приложения.

По мнению инженеров Check Point, создатели антивирусного ПО не обратили особого внимания на WSL потому, что полагали, будто эту подсистему нужно активировать вручную. Поскольку возможность запускать приложения Linux в Windows нужна в основном разработчикам, ее включает сравнительно небольшое количество пользователей. Как сообщила Microsoft, для этого нужно активировать режим разработчика, установить компонент, перезагрузить устройство и развернуть WSL.

Bashware автоматизирует эти шаги и запускает функцию автоматически. Для активации режима разработчика достаточно изменить несколько разделов в реестре. Это может выполняться фоном, незаметно для пользователя. Что касается перезагрузки, то хакер может либо подождать, пока жертва выключит компьютер, либо инициировать критическую ошибку, которая повлечет за собой перезапуск ОС. После этого bashware загружает необходимое окружение, созданное на платформе Ubuntu, и запускает в ней вредоносное ПО. Драйверы WSL можно загрузить на компьютер вручную и без перезагрузки.

Windows расценивает запуск Linux-приложения как пико-процесс - тип процесса, структурно отличный от тех, что происходят при запуске нативных программ. Исследователи выяснили - ни один антивирус не отслеживает эти процессы, несмотря на то, что Microsoft предоставила разработчикам антивирусов Pico API. Для работы с bashware не нужно писать специальные вирусы для Linux, которые будут потом запущены в атакуемой Windows с помощью WSL. Благодаря программе Wine можно использовать обычное вредоносное ПО для Windows, в том числе давно известное - оно будет скрыто от антивирусов.

2015

Пять бюллетеней безопасности Windows 10 за 2 недели

11 августа 2015 года компания Microsoft представила пять бюллетеней безопасности, затрагивающих Windows 10, ещё один относится к браузеру Microsoft Edge, всего с момента выхода этой версии ОС выпущено 14 бюллетеней. В новом выпуске - традиционные для второго вторника месяца обновления других продуктов Microsoft[6].

Три из них относятся к разряду критических, эти обновления рекомендуется установить как можно скорее. В их числе MS15-079, MS15-80 и MS15-81, закрывающие уязвимости Windows, Internet Explorer и Microsoft Office. По словам аналитика Вольфганга Кандека, 40% выпущенных в этом месяце компанией Microsoft обновлений предназначены для Windows 10. Для сравнения, в первые два месяца после релиза Windows 8 для неё выпускалось 60% от общего числа обновлений для продуктов Microsoft.

Для Office критические обновления выпускаются редко. В этом выпуске закрывается уязвимость, через которую атакующие могут получить контроль над системой пользователя, заставляя его открыть специально созданный документ Word. По данным Microsoft, эта уязвимость уже используется злоумышленниками.

Бюллетень MS15-085 относится к уязвимости, в рамках которой для получения доступа в систему используются USB-флэш, содержащие код, активируемый при её подключении к устройству. Примеры этого уже имеются. На бюллетень MS15-083 стоит обратить внимание пользователям Windows Vista и Windows 2008, работающим с файлообменными сервисами с протоколом SMB (Small Message Block).

Обзор новшеств в сфере ИБ в Windows 10

В 2015 году до официального старта продаж ОС Windows 10 обозреватели анализировали какие полезные для предприятий функции безопасности были добавлены в новый продукт.

Microsoft рекламирует улучшения в таких областях, как защита личных данных и контроль доступа, защита информации и устойчивость к угрозам. Например, в области контроля доступа, в Windows 10 будет нативная двухфакторная аутентификация, поскольку Microsoft пытается заставить пользователей выйти за пределы метода использования одного пароля, который оказался слишком уязвимым. С двухфакторной аутентификацией, злоумышленники должны получить две части информации, чтобы взломать систему, такие как пароль и код, посылаемый на устройство пользователя, например, на смартфон.

В части защиты информации Windows 10 оснащена технологией предотвращения потери данных (DLP), заключающейся в том, чтобы разделить личные и корпоративные данные, а также защищает последние с помощью «сдерживания». Корпоративные приложения, данные, электронная почта, веб-контент и другая конфиденциальная информация будет автоматически шифроваться в Windows 10 — как в настольных ПК, так и в мобильных устройствах.

ИТ-специалисты получат возможность разрабатывать политики контроля — какие приложения могут получать доступ к корпоративным данным. Windows 10 расширяет возможности управления VPN для защиты корпоративных данных в устройствах, принадлежащих сотрудникам.

В сфере устойчивости к угрозам и вредоносным программам, у Windows 10 будут функции блокирования устройств, позволяя пользователям запуск только приложений, подписанных с помощью сервиса подписи Microsoft.

ИТ-администраторы смогут определять, какие приложения они считают заслуживающими доверия: те, которые они подписывают сами, которые подписаны независимыми поставщиками программного обеспечения, или те, которые доступны в Microsoft Store (бывший Windows Store), или все из них.

2014: Наталья Касперская: в ОС Windows есть опасные «закладки»

Говоря об обеспечении информационной безопасности государства как об одной из целей импортозамещения, гендиректор группы InfoWatch Наталья Касперская на круглом столе в Госдуме в июле 2014 г. выразила уверенность, что в ОС Windows присутствуют «закладки», которые могут нанести ущерб стране.

«У меня нет никаких сомнений, что они там есть, и что в какой-то момент их активировать не представляет никакой сложности, в том числе в тех компьютерах, которые считаются защищенной средой: только потому, что такая техническая возможность есть. Важны именно возможности», - сказала Касперская.

Она добавила, что нет возможности проверить «все многомиллионные строки кода Windows, которые написали разработчики, поскольку для этого нужно иметь штат разработчиков, равный тому, что имеется в Microsoft».

Гендиректор InfoWatch Наталья Касперская полагает, что в случае войны «закладки» в Windows могут быть активированы
Гендиректор InfoWatch Наталья Касперская полагает, что в случае войны «закладки» в Windows могут быть активированы

Развивая тему, Наталья Касперская отметила, что все понимают, «что может быть, если, например, Microsoft будет предписано поставить какие-нибудь вредоносные обновления на территории всей страны и когда по всей стране все компьютеры практически в одночасье выключатся».

Возможности «закладок» на практике пока не были реализованы, поскольку Россия не находится в состоянии открытых военных действий: «если же предположить на секунду, что страна находится в таком состоянии, то они могут быть активированы», полагает гендиректор InfoWatch.

Директор по информационной безопасности Microsoft в России Владимир Мамыкин по этому поводу заявил TAdviser, что одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов корпорации, является ее сотрудничество с государством и выполнение национальных требований к сертификации ПО.

Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. На сегодня сертифицированы уже более 40 продуктов, включая Windows 8. Наши клиенты, в числе которых и госзаказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям», - говорит Мамыкин.

Сергей Груданов, гендиректор компании «Сертифицированные информационные системы» отмечает, что основой безопасности информационных систем является проверка использованного в них ПО на соответствие российским требованиям по безопасности, предъявляемых ФСТЭК и ФСБ. Возможность анализировать исходные коды, в том числе и на предмет отсутствия в них закладок, предоставляется Microsoft российским спецслужбам уже более 10 лет, а сама компания получила наибольшее число сертификатов, выданных зарубежным производителям ПО, говорит Груданов.

Примечания