Комментарии 21
Кто-нибудь знает как в win7 под пользователем без прав админа установить принтер? В xp это через shift можно сделать
А как защититься? Есть патч реестра, который добавляет dwmapi.dll в список известных, к примеру?
Защититься можно, исключив пользователя из группы «Администраторы» и включив политику ограниченного использования программ (в ней есть возможность блокировать подключение библиотек из несанкционированных папок). Минус — теперь пользователь не сможет запускать скачанные из интернета приложения. Хотя, с другой стороны, это плюс.
В своё время была одна похожая уязвимость, ну и сейчас частично осталась. Это положить в корень диска исполняемый файл с названием C:\program.exe
Многие программы, прописываясь в автозапуск не указывают кавычки. Поэтому ссылка C:\Program files\Firm name\file.exe -arg=value без кавычек является не однозначной, где тут путь, а где аргументы запуска, поэтому Windows последовательно пыталась запустить:
«C:\Program.exe» с аргументами «files\Firm name\file.exe -arg=value»
«C:\Program files\Firm.exe» с аргументами «name\file.exe -arg=value» и т.д.
Проверялось переименованием калькулятора calc.exe в c:\program.exe и после перезагрузки считаем сколько экземпляров калькулятора запустилось. У меня в своё время до 5 штук открывалось. Ну или посмотреть все места автозапусков глазами.
ПС: лечится указанием кавычек:
«C:\Program files\Firm\file.exe» -arg=value
Многие программы, прописываясь в автозапуск не указывают кавычки. Поэтому ссылка C:\Program files\Firm name\file.exe -arg=value без кавычек является не однозначной, где тут путь, а где аргументы запуска, поэтому Windows последовательно пыталась запустить:
«C:\Program.exe» с аргументами «files\Firm name\file.exe -arg=value»
«C:\Program files\Firm.exe» с аргументами «name\file.exe -arg=value» и т.д.
Проверялось переименованием калькулятора calc.exe в c:\program.exe и после перезагрузки считаем сколько экземпляров калькулятора запустилось. У меня в своё время до 5 штук открывалось. Ну или посмотреть все места автозапусков глазами.
ПС: лечится указанием кавычек:
«C:\Program files\Firm\file.exe» -arg=value
А разве исполняемый файл приложения не проверяет свои dll перед загрузкой? Я имею ввиду конечно приложения серьёзных компаний, а не поделки хелловордщиков.
Вообще, техника называется "DLL Search Order Hijacking" и известна довольно давно.
К сожалению, в разработке софта всегда были, есть и будут баги, поэтому иногда такое можно найти даже у серьёзных компаний, в том числе у защитных решений (антивирусов, сканеров безопасности и так далее). По ссылке есть примеры.
К сожалению, в разработке софта всегда были, есть и будут баги, поэтому иногда такое можно найти даже у серьёзных компаний, в том числе у защитных решений (антивирусов, сканеров безопасности и так далее). По ссылке есть примеры.
А разве исполняемый файл приложения не проверяет свои dll перед загрузкой?Тут 2 проблемы:
1) Нельзя линковаться с DLL стандартными способами. Иначе Windows загрузит DLL до старта приложения. Только загружать всё руками, проверять подпись DLL, импортировать функции руками.
2) Развесистые зависимости. Нужно заранее знать, что некая DLL из Win32API (например, winmm.dll) зависит от некоей api-ms-win-core-errorhandling-l1-1-0.dll и ещё 50 подобных файлов. Все их надо будет проверить.
Коммиты в репозитории 4 летней давности, вероятно антивирусы не дадут скачать такой файл.
В вин10 есть забавная особенность, если скачать из интернета zip-файл с софтом в виде portable дистрибутива, где exe и dll файлы без инсталлятора, и распаковать через проводник, то с высокой вероятностью софт не запустится или будет выдавать непонятные ошибки. Проводник на распакованные исполняемые файлы ставит флаг недоверенного файла. В статье эксперимент судя по скриншотам был в вин7. Мне кажется в 10 уже не будет работать так.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Незаметная выдача прав администратора