Comments 45
В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».
т.е. можно не париться(в случае десятки)?
спасибо за примеры решений до выхода патча. интересно, а почему нельзя быстро выпустить микропатч, который это сделает сам?
ATMLIB.DLL
А это не та, какую патчат для «кряка» Adobe CC?
c:
cd "%windir%\system32"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Ђ¤¬ЁЁбва в®ал:(F)
rename atmfd.dll x-atmfd.dll
cd "%windir%\syswow64"
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Ђ¤¬ЁЁбва в®ал:(F)
rename atmfd.dll x-atmfd.dll
Здесь "Ђ¤¬ЁЁбва в®ал" — это «Администраторы» в кодировке DOS.
ATMFD.DLL (в последних версиях ATMLIB.DLL), которая работает на уровне ядра ещё со времён NT
Работала. Да, ATMFD это драйвер режима ядра, но в Windows 10 его уже нет. Его замена — ATMLIB — обычная dll пользовательского режима. Эту часть функциональности они уже вынесли из ядра.
В результате мы получаем исполнение кода с правами приложения, в котором будет открыт вредоносный документ. Поскольку пользуются этой библиотекой в основном UWP-приложения, которые работают в AppContainer, — мы имеем исполнение произвольного кода уже в песочнице. И, в отличие от Контроля Учётных Записей, AppContainer признаётся Microsoft'ом за границу безопасности. И, для тех кто не знает, AppContainer реализует модель прав аналогичную андроиду: без явного разрешения не будет доступа ни к файлам, ни к интернету, ни к микрофону.
Пользователи Windows 10 могут расслабиться и спокойно ждать патча.
Десятка при попытке скачать крупный апдейт (типа 1809) — тоже не меньше 4 ГБ нужно.
А на XP вполне можно было играть на 1 ГБ памяти во что-то не очень новое или скажем на 2 ГБ в «консольную» игру 2020 года. Но то игра совсем консольная, она где-то 300 МБ видеопамяти тратит в 1080p.
Или вообще попробовать Ubuntu на таком объеме. А если совсем рискованные люди — Fedora Workstation.
А что удача — согласен. Если совсем плохо — находим в комп 2 ГБ оперативки и ставим из образа Win 7 x86.
Увы, сколько я ни брожу по улицам, нигде не удаётся найти 2 гигабайта оперативки. Только за деньги :-(.
Но в данном «АО с большей долей государства» (если я ничего не напутал) по идее 100% компов сотрудников на Винде. Если конечно человек не знает пароль на BIOS и не имеет желания установить себе любую ОС из скачанного дома образа.
А какие не UWP приложения ее используют?
Но ведь это какое-то полезное приложение, а не helloworld, поэтому пользователь давно разрешил и файлы и инет.
В этом плане, может быть, там как в макоси для приложений из стора уже давно сделано — пока не выделишь в окне открытия конкретную папку или файл, доступа нет, как только сделал — есть, но только в конкретные файлы.
Да, именно так. Откройте свойства любого файла внути папки Документы, во вкладке Безопасность будет список тех, кому разрешён доступ. Так вот, там не будет ничего, что разрешает даже читать эти файлы изнутри AppContainer'а. Как же программы из Microsoft Store могут открывать и редактировать документы? Ответ — им для этого должен помочь специальный процесс, называемый брокером, который эти права имеет. Именно он показывает диалоги открытия/сохранения файлов, и, соответсвенно, требует участия пользователя.
В Windows 7-10 активно эксплуатируется 0day с удалённым исполнением кода. Патча нет