• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Во всех версиях Windows обнаружена уязвимость, которую не способен закрыть ни один антивирус

    Выявленная в загрузчике Windows уязвимость дает возможность запустить исполняемый код таким образом, что ни одна современная антивирусная программа не способна его определить. Интересно, что в файловой системе также не остается следов работы эксплоита.

    Process Doppelganging – наименование технологии, которую задействовали для данной уязвимости Windows. Для запуска зловреда и сокрытия следов она пользуется технологией NTFS Transactions. Схема работы разделена на несколько этапов.

    Сперва формируется NTFS-транзакция на изменение одного из неповрежденных файлов операционной системы, его тело заменяют исполняемым кодом. При этом транзакция остается открытой.

    Далее в memory section (память) создается копия измененного файла. Вредоносный код посредством Process Doppelganging попадает в память. Важно подчеркнуть, что антивирусные программы никак не реагируют на взаимодействие с файловой системой, поскольку фактического обращения к ФС не было.

    Во всех версиях Windows обнаружена уязвимость, которую не способен закрыть ни один антивирус

    На третьем этапе NTFS-транзакция откатывается. В результате этого на диске не остается никаких следов, файл для операционной системы остается тем же, хотя в памяти уже внедрен вредоносный код.

    Самое интересное происходит после этого. При помощи вызова, который создает процесс из созданной из исполняемого файла секции памяти, вызывается загрузчик Windows. В ZwCreateProcess (исполняемом файле) и находится зловред. В этот момент включаются алгоритмы сканера антивирусной программы, однако происходит чтение образа файла с диска, а изменений там никаких не было. В результате система запускает процесс на выполнение.

    По словам источника, в список антивирусов, неспособных выявить эксплоит, входят Avast, Kaspersky EP, Windows Defender, ESET NOD 32, McAfee VSE 8.8, Qihoo 360, AVG, Trend Micro.

    По словам разработчиков, заблокировать уязвимость быстро невозможно, однако можно обойти проблему с другой стороны, и обновить антивирусные программы, которые смогут выявлять разнообразные атаки, использующие брешь. Подвержены риску на текущий момент все версии Windows. Интересно, что из-за уязвимости Windows 10 система выбрасывала «синий экран» после применения Process Doppelganging, но разработчики уже исправили данный баг.