Уязвимость Windows в win32k.sys

Svart Testare · 10-12-10 00:53:51

bALMER пишет:

да написано, что винда самая безопасная ос в мире

Я в этом нисколько не сомневаюсь, так как пользуюсь MSE уже полтора года, не отказываю себе в посещении любых (в т.ч. подозрительных сайтов), без опасений подключаю чужие флешки невесть откуда и т.д. Компьютер не заражался и Windows в отличной форме. Такая практика — лучшее доказательство.

bALMER пишет:

И где гарантия, что запилят все известные на данный момент дыры?

С MSE мне всё равно когда их запилят. Если я вижу, что в день обнаружения уязвимости она уже блокировалась им, то выход патча — дело техники.

bALMER пишет:

с какой частотой обновляется MSE?

Трижды в день.

bALMER · 10-12-10 00:59:01

Svart Testare пишет:

bALMER пишет:
да написано, что винда самая безопасная ос в мире
Я в этом нисколько не сомневаюсь

А я сомневаюсь. Ведь статистика распространения заразы говорит сама за себя. И дело не в пользователях, а в системе. Пример, был знакомый программист, который поставил ХР, сп3(с обновлениями), антивирь и словил локер. То что он не лазил по "стремным" сайтам я лично гарантирую, т.к. дело было на работе. У каждого своя история)

Svart Testare · 10-12-10 01:00:46

bALMER пишет:

был знакомый программист, который поставил ХР, сп3(с обновлениями), антивирь и словил локер.

Ну вы ж знаете как винлокер ставился? Подсунулся он вашему программисту под видом кодека и всё. Тот согласился и заразился, так как скорее всего сидел под админом.
Уязвимости же Windows здесь не при чём.

Добавлено спустя 01 мин 50 с:
Кстати, MSE очень много знает об этом семействе Winlock-ов:
www.microsoft.com/security/portal/Threa … ry=winlock
Да и вообще энциклопедия заразы интересная.

bALMER · 10-12-10 01:06:32

Svart Testare пишет:

Ну вы ж знаете как винлокер ставился? Подсунулся он вашему программисту под видом кодека и всё. Тот согласился и заразился, так как скорее всего сидел под админом.

Мы говорим о безопасности. Почему сторонняя программа может заблокировать компьютер? Это ли не дыра в безопасности?

Svart Testare пишет:

Уязвимости же Windows здесь не при чём.

Вот только не начинайте, я вас прошу)

Svart Testare · 10-12-10 01:07:41

Кстати, раз уж заговорили о Winlock. Вот выдержка из одной статьи о нём, о том как он устанавливается в систему:

It also creates the following registry entry so that it automatically executes every time Windows starts:
In subkey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sets value: "<system folder>\xxx_video.exe"
With data: "Bigin"

www.microsoft.com/security/portal/Threa … fRansom.BG
Такое возможно исключительно под админом, потому что под стандартным пользователем ни Windows, ни тем более MSE не позволят процессу писать в ветку HKLM. Это просто невозможно. Вот вам реальный пример почему фигово сидеть под административной учёткой. Будь ваш знакомый под стандартным пользователем, он бы получил сообщение от системы о том, что требуются повышенные привилегии, так как некий процесс хочет писать в реестр и скопировать себя в системный каталог (в данном случае это C:\Windows\System32).

bALMER · 10-12-10 01:14:32

Svart Testare пишет:

Такое возможно исключительно под админом, потому что под стандартным пользователем ни Windows, ни тем более MSE не позволят процессу писать в ветку HKLM. Это просто невозможно. Вот вам реальный пример почему фигово сидеть под административной учёткой. Будь ваш знакомый под стандартным пользователем, он бы получил сообщение от системы о том, что требуются повышенные привилегии, так как некий процесс хочет писать в реестр и скопировать себя в системный каталог (в данном случае это C:\Windows\System32).

Будь мой знакомый не прогером на с++, который активно работает с реестром, то конечно, но! Кто защити админа? Мы говорим о защищенности виндов. Не о защищенности виндов+антивирь+файрвол+.... Вот и получается, что голая винда, даже без явных дыр может стать неработоспособной.

Svart Testare · 10-12-10 01:16:48

bALMER пишет:

голая винда, даже без явных дыр может стать неработоспособной.

Вы или невнимательно читали, что я написал, или сознательно не хотите вникать в суть написанного.
Резюмирую: нормальная работа это когда пользователь под стантарной учёткой сидит. Пока он не даст своего явного разрешения на административные действия, никакой Winlock системе не грозит. Последнее слово всегда за пользователем.
Админа защищать не нужно, потому что под ним не нужно сидеть вообще.

petrun · 10-12-10 01:20:31

Svart Testare пишет:

Какие вам нужны примеры работы? Написано же:

То что тут написанно - общие слова. Их можно как угодно понять.

Svart Testare · 10-12-10 01:20:36

Кстати, упреждая ваш следующий пост на тему уязвимостей Windows и как с помощью них заражаются компьютеры, можно вспомнить известнейший Conficker. Но если провести несложный анализ, то патч для уязвимости, благодаря которой он поразил тысячи компьютеров, был выпущен задолго до самой эпидемии, просто пользователи опять же сознательно отключали автоматические обновления и естественно становились жертвами.
То есть, MS вовремя сделала обновление и исправила уязвимость, а пользователи это обновление не поставили. Виновата снова Windows? smile

petrun · 10-12-10 01:21:59

Svart Testare пишет:

Админа защищать не нужно, потому что под ним не нужно сидеть вообще.

Зря вы так. Если что-то таки запустится из-под админа, его нужно максимально урезать в правах.

Svart Testare · 10-12-10 01:24:41

petrun пишет:

Если что-то таки запустится из-под админа, его нужно максимально урезать в правах.

Без согласия пользователя ничего не запустится. Все эти «локальные повышения привилегий» так и остаются в теории, а на практике нет ни единой рабочей заразы, которая бы сначала пробила бы стандартного пользователя, а потом бы уже нагадила с правами админа. Да так, чтобы этого пользователь не заметил!

petrun · 10-12-10 01:31:24

Svart Testare пишет:

которая бы сначала пробила бы стандартного пользователя

Мало программ с дырками что-ли?

Svart Testare пишет:

, а потом бы уже нагадила с правами админа.

Эксплойтов н аповышение привилегий нет?

Блажен, кто верует.

bALMER · 10-12-10 01:35:17

Svart Testare пишет:

Вы или невнимательно читали, что я написал, или сознательно не хотите вникать в суть написанного.
Резюмирую: нормальная работа это когда пользователь под стантарной учёткой сидит. Пока он не даст своего явного разрешения на административные действия, никакой Winlock системе не грозит. Последнее слово всегда за пользователем.
Админа защищать не нужно, потому что под ним не нужно сидеть вообще.

ну, а что делать людям, которым нужны возможности админа? Как бы именно про это я писал в примере. Единственный вариант который я вижу - заклеить юсб скотчем, выкинуть сидюк и отключится от сети, имхо.

Linfan · 10-12-10 01:36:56

Svart Testare пишет:

petrun пишет:
Если что-то таки запустится из-под админа, его нужно максимально урезать в правах.
Без согласия пользователя ничего не запустится. Все эти «локальные повышения привилегий» так и остаются в теории, а на практике нет ни единой рабочей заразы, которая бы сначала пробила бы стандартного пользователя, а потом бы уже нагадила с правами админа. Да так, чтобы этого пользователь не заметил!

А в суровой действительности, пользователи венды качают разные там ZverCD со встроенными ботнетами, ну или кряченные проги с прикрученной к ним заразой. Зачем напрягаться, если сама ситуация с системой такая? big_smile

Svart Testare · 10-12-10 01:37:15

petrun пишет:

Мало программ с дырками что-ли?

Вот все так говорят, но никто пока не привёл ни одной работающей. Я уже не говорю о том, что очень малое количество программ работают от админа в Windows.

petrun пишет:

Эксплойтов н аповышение привилегий нет?

Очевидно, есть. Но где они в работе? Где массовые самоубийства леммингов ботнеты, эпидемии и другие последствия? Я бы сам с удовольствием хотел бы узнать о них и проанализировать.

Добавлено спустя 01 мин 10 с:

Linfan пишет:

А в суровой действительности, пользователи венды качают разные там ZverCD

Конечно, пусть качают. Но при этом пусть не говорят о том, что «я заразился, потому что винда дырявая» — это неправда.

Добавлено спустя 02 мин 37 с:

bALMER пишет:

Как бы именно про это я писал в примере.

В примере про вашего знакомого-программиста? А зачем программисту права админа? Я имею в виду — постоянно. Если он пишет программу, запуск которой подразумевает админправа, то UAC всё устроит. И не глобально, а именно для его программы.

Linfan · 10-12-10 01:40:46

Svart Testare пишет:

Linfan пишет:
Ослеживать все вызовы WinAPI...
Вот что я нарыл из открытых источников (закрытые опрошу позднее):

Это все касается лишь части из возможных путей проникновения заразы и ее фунциклирования на машине. MSE не "silver bullet" при всех стараниях МС, поскольку это игра в догонялки.

Добавлено спустя 04 мин 08 с:

Svart Testare пишет:

Очевидно, есть. Но где они в работе? Где массовые самоубийства леммингов ботнеты, эпидемии и другие последствия? Я бы сам с удовольствием хотел бы узнать о них и проанализировать.

"гражданина! ты туда не хады, ты сюда хады" (с) : highloadlab.com/blog/item_162.html

Там есть карта ботнетов, так, для общего развития. Причем это не полные данные. Когда сталкиваешься с этим в реальности - волосы дыбом встают. Ессно все ботнеты вендячие.

bALMER · 10-12-10 01:46:33

Svart Testare пишет:

А зачем программисту права админа? Я имею в виду — постоянно.

что бы активно работать с реестром, как он это делал в 95, NT, 2к...

Svart Testare · 10-12-10 01:48:37

Linfan пишет:

Ессно все ботнеты вендячие.

Там нет никаких данных для анализа, чтобы утверждать, что эти ботнеты возникли не в результате халатности пользователей, игнорирующих обновления, а, например, в результате какой-то 0-day уязвимости, которую на момент развития эпидемии Microsoft ещё не успела пофиксить и компьютеры были беззащитны.

Добавлено спустя 01 мин 25 с:

bALMER пишет:

что бы активно работать с реестром, как он это делал в 95, NT, 2к...

Для этого есть HKCU. Кстати, одно из требований к программам для XP/Vista/7 — поддержка работы под учётной записью с ограниченными правами.

bALMER · 10-12-10 01:52:40

Svart Testare пишет:

Кстати, одно из требований к программам для XP/Vista/7 — поддержка работы под учётной записью с ограниченными правами.

ссылочку дайте, скиду товарищу. Пусть почитает, раз под винду кодит.

Svart Testare · 10-12-10 01:53:50

bALMER пишет:

ссылочку дайте, скиду товарищу. Пусть почитает, раз под винду кодит.

www.microsoft.com/rus/windows/appCompat/default.mspx

USEрдный Rаботник · 10-12-10 01:54:29

Linfan пишет:

А в суровой действительности, пользователи венды качают разные там ZverCD со встроенными ботнетами, ну или кряченные проги с прикрученной к ним заразой. Зачем напрягаться, если сама ситуация с системой такая?

Покупайте Подлинное Программное Обеспечение Microsoft. smile В Linux программах, когда они распухнут и Линукс-дэй-он-десктоп наконец наступит, лазеек не будет? Ваше мнение?

Linfan · 10-12-10 01:55:43

Svart Testare пишет:

Linfan пишет:
Ессно все ботнеты вендячие.
Там нет никаких данных для анализа, чтобы утверждать, что эти ботнеты возникли не в результате халатности пользователей, игнорирующих обновления, а, например, в результате какой-то 0-day уязвимости, которую на момент развития эпидемии Microsoft ещё не успела пофиксить и компьютеры были беззащитны.

Когда серьезным ддосом конкуренты положат лично ваш бизнес в инете - вам будет "опсалютно" пофиг причины, по которым эти ддосы возможны и что МС делала когда-то там. Важен будет один факт - экосистема ддосов сидит на вендячей платформе.

bALMER · 10-12-10 01:59:04

Svart Testare пишет:

www.microsoft.com/rus/windows/ap … fault.mspx

спасибо конечно, но я говорю об ХР сп3!

Svart Testare · 10-12-10 02:00:33

Linfan пишет:

Когда серьезным ддосом конкуренты положат лично ваш бизнес в инете

Ну лично мне не будет, потому что я изначально тщательно подойду к выбору провайдера хостинга wink И потом, DDOS-ят многие сайты и без разбору — с линуксом, бздями или виндой. Так, что…

petrun · 10-12-10 02:04:39

Svart Testare пишет:

И потом, DDOS-ят многие сайты и без разбору — с линуксом, бздями или виндой. Так, что…

Ддос с помощью удаленной ддос-уязвимости - это совсем другое дело.

Форум StopLinux

Объявление

#51 10-12-10 00:53:51

Re: Уязвимость Windows в win32k.sys

#52 10-12-10 00:59:01

Re: Уязвимость Windows в win32k.sys

#53 10-12-10 01:00:46

Re: Уязвимость Windows в win32k.sys

#54 10-12-10 01:06:32

Re: Уязвимость Windows в win32k.sys

#55 10-12-10 01:07:41

Re: Уязвимость Windows в win32k.sys

#56 10-12-10 01:14:32

Re: Уязвимость Windows в win32k.sys

#57 10-12-10 01:16:48

Re: Уязвимость Windows в win32k.sys

#58 10-12-10 01:20:31

Re: Уязвимость Windows в win32k.sys

#59 10-12-10 01:20:36

Re: Уязвимость Windows в win32k.sys

#60 10-12-10 01:21:59

Re: Уязвимость Windows в win32k.sys

#61 10-12-10 01:24:41

Re: Уязвимость Windows в win32k.sys

#62 10-12-10 01:31:24

Re: Уязвимость Windows в win32k.sys

#63 10-12-10 01:35:17

Re: Уязвимость Windows в win32k.sys

#64 10-12-10 01:36:56

Re: Уязвимость Windows в win32k.sys

#65 10-12-10 01:37:15

Re: Уязвимость Windows в win32k.sys

#66 10-12-10 01:40:46

Re: Уязвимость Windows в win32k.sys

#67 10-12-10 01:46:33

Re: Уязвимость Windows в win32k.sys

#68 10-12-10 01:48:37

Re: Уязвимость Windows в win32k.sys

#69 10-12-10 01:52:40

Re: Уязвимость Windows в win32k.sys

#70 10-12-10 01:53:50

Re: Уязвимость Windows в win32k.sys

#71 10-12-10 01:54:29

Re: Уязвимость Windows в win32k.sys

#72 10-12-10 01:55:43

Re: Уязвимость Windows в win32k.sys

#73 10-12-10 01:59:04

Re: Уязвимость Windows в win32k.sys

#74 10-12-10 02:00:33

Re: Уязвимость Windows в win32k.sys

#75 10-12-10 02:04:39

Re: Уязвимость Windows в win32k.sys

Подвал форума