Комментарии 42
Получается, без этой папки можно создавать локальные ссылки, с помощью которых можно повысить свои права в системе? Или я не правильно понял?
В системе есть пара процессов под правами system, которые запускают что попало из определенной директории. Если ее подменить на линк с пейлоадом, то можно запустить его и заполучить права system.
https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/
По оригинальной ссылке из вышеприведенной статьи PoC уже удален с гитхаба, но можно посмотреть тут: https://disk.yandex.ru/d/FMjpYSJhNaDShQ
Как microsoft эту проблему решила с помощью костыля в виде inetpub - не очень понял:
Upd: Похоже, что на содержимое inetpub не триггерится Defender, поэтому туда злоумышленники могут положить зловред
забавно, а я туда уже несколько лет всякие утилитки случайные скидываю, чтобы под руками были. DWMBlur, sysinternals, nirsoft...
раньше в c:\temp кидал, но последнее время перестал его находить и переключился на inetpub
получается, я интуитивно взломал дефендер?...
раньше в c:\temp кидал, но последнее время перестал его находить
Как это?
cd %TEMP%
это другая папка, не в корне, в корень проще, и не пропадет при удалении юзера
Возможно скрыта папка просто
Temp задаётся в переменных средах
Скрытый текст
В переменных среды.
...и я это, конечно, знаю. Я их ещё DOS'e настраивал. Но речь не о том.
Мне было удобно сваливать утилиты в папку, которая
уже есть
уже везде есть
Так что сев за тот или иной компьютер, дома или на работе, я там их почти сразу найду, а не буду вспоминать, и как же мне захотелось из назвать именно здесь, фиг знает в какой день фиг знает какого настроения.
Как microsoft эту проблему решила с помощью костыля в виде inetpub - не очень понял
Да просто все. Если папки нет, то можно создать симлинк C:\inetpub указывающий на любую вашу папку.
А если папка есть, и она принадлежит аккаунту SYSTEM, плюс ACL запрещает ее удаление не владельцам - то уже левую папку там не подсунешь.
Не, именно использование хранилища inetpub в качестве источника линковки директории - это вектор атаки. Поэтому цель костыля от микрософт - застолбить и оградить поляну раньше, чем ее использует какое-нибудь malware. Непонятно только, что будет делать их скрипт, если в inetpub уже возлежит что-то нежелательное
Я именно про это и говорю.
Непонятно только, что будет делать их скрипт, если в inetpub уже возлежит что-то нежелательное
Если вы про то, что там уже что-то лежит в момент исполнения скрипта - то ниже есть ссылка на скрипт. Нужно просто посмотреть.
А вот ПОТОМ положить фигню в папку уже не выйдет, если ACL поставлен правильно. Просто не будет прав на запись.
Настолько я понимаю, этим они пытаются "застолбить место", создав папку с нужными правами, чтобы это не сделал вирус.
А может кто-нибудь привести пример что там внутри этого скрипта? По описанию это просто условный 'mkdir' с проверкой на существующую, но для запуска этих 1.5 команды уже необходимы как минимум 2 строки, повершелл, интернет, доступ к облаку и скорее всего учётка в МС.
Зачем его приводить, если есть ссылка на страницу с файлом:
https://www.powershellgallery.com/packages/Set-InetpubFolderAcl/1.0/Content/Set-InetpubFolderAcl.ps1
где его можно посмотреть.
Скрипт проверяет нет ли там чего, и только после этого что-то меняет и устанавливает права.
И судя по содержимому, не каждый сможет такое написать.
Спасибо, у меня как-то не получилось тыкаясь по сайту выйти на него. Посмотрел внутрь, ну поправлюсь, не 1.5 а 3 команды по факту - есть ли что-то с таким именем, если нет создать и права раздать, если есть и пустое раздать права, иначе ничего не делать. Я не о том что каждый не сможет написать что там внутри, там как обычно в подобных вещах море лишней информации и вещей, а о том, что аналог делается в 3 команды. Но с современной традицией раздутия всего и вся, простота не в почёте.
Windows не может обновиться, если нет пустой системной папки? Всё логично. Улыбающийся_пингвин.jpg
Забавно, лично у меня за ~10 лет проблемы с обновлениями винды были ровно 0 раз. А вот ubuntu server себя убивала при обновлении до нового релиза аж два раза.
О, тоже отключаете обновления первым делом после установки винды? :)
У меня Ubuntu Server умирала просто после того как в рамках очередного обновления она обновляла ядро. Пишет что надо бы перезапуститься и больше не запускается. Но случалось это только на VPSках Digital Ocean. Почему это происходит я так и не понял, воспроизвести проблему дома не удалось.
У Вас, просто, руки прямые. У меня и с виндой, и с линем, и с фряхой проблемы случаются при обновлении иногда.
А вот ubuntu server себя убивала при обновлении до нового релиза аж два раза.
Либо ты просто врешь, либо ты сам как-то ломал систему
У меня в парке есть система которая обновляется с 6.06 LTS и сейчас 24.04.2 LTS. Буквально недавно у одного из клиентов обновляли с 20.04 до 24.04.2(само собой 20.04→22.04→24.04) и конечно тоже все норм.
При этом давно уже обновляется все с --allow-third-party и даже так никогда не появляются проблемы
Думаю, что ты сам разламывал систему тем или иным образом, хотя может быть просто сознательно врешь, учитывая, что ты перед этим врешь про идеальные обновления винды(которая как раз ломается почти у всех при обновлениях между версиями)
Практически согласен с Алексеем. С 2017 убунта в дуалбуте на 3 ноутах(msi и asus). 2 или 3 раза помирала после обновления, поэтому обновление раз в месяц перед выходными, чтобы было время на воскрешение.
Может я тоже как-то вру или ломаю систему? Самое страшное что я делал - ставил большое количество пакетов и периодически сносил их.
На винде 8.1, 10, 11 таких проблем не было за эти 8 лет эксплуатации на этих же ноутбуках(хотяяяя 8.1 как-то раз сломала загрузку линя, но это уже другая история).
Немного пользовался ubuntu на десктопе, там обновлялось проблем.
Возможно, у этой системы есть какие-то проблемы совместимости с ноутами.
На самом деле при некоторых не слишком часто используемых конфигурациях поломать линукс при обновлении на новый релиз очень даже можно, особенно если забыть обновиться до упора на текущем релизе перед переходом на новый (впрочем, такое обновление не всегда спасает). Фокус в том, что из-за неудовлетворенных зависимостей в процессе обновления может снести полсистемы при удалении какого-то старого пакета. Потому при обновлении на новый релиз таки очень рекомендуется смотреть, что произойдет в системе в процессе обновления, какие пакеты будут снесены, а не обновлены.
Причиной такого могут быть забытые никому не нужные библиотеки, оставшиеся после удаления ненужного софта, посторонние пакеты, установленные не из штатной репы, какой-то малопопулярный софт со странными зависимостями. Драйвера старого или проблемного оборудования обновление может отправить в блэклист.
Все это, впрочем, в конечном итоге можно достаточно легко починить, если есть возможность загрузиться со "спасательного" диска.
Кстати, винду обновлением поломать до необходимости переустановки тоже можно. Например, одно время винда любила (а может и до сих пор любит) не глядя обновлять драйвера до последних версий, что у обладателей старого (и не очень) оборудования иногда приводило к полному облому загрузки (всеми любимый синий экран сразу на старте даже в безопасном режиме) за счет выпиливания или искривления поддержки данного оборудования в новой версии драйвера.
Да-да, вру, конечно. Специально сейчас нашел баг с которым я столкнулся при обновлении убунты в 2020 году. Чинилось только руками.
https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1866844
https://bugs.launchpad.net/ubuntu/+source/glibc/+bug/1867431
Да не, убунта регулярно ломается при апдейте с релиза на релиз. Поэтому опытные линуксоиды советуют новичкам не обновлять её, а просто устанавливать новую версию вместо старой :)
То ли дело прыщи: пару месяцев обновления не раскатывал, и вуаля: че ты мне там за пакеты накачал, у них подписи странные, иди нафиг. И следующий за этим непревзойденный мозготрах с накатыванием новых ключей (пишут, что gpg эти ключи вытягивает примерно сутки, я выдержал час).
Странно. У меня за 10 лет использования Арча эта проблема несколько раз возникала, но решалась в формате "пара минут, чтобы вспомнить, что в таких случаях делать, десять секунд на то, чтобы скачались и установились новые ключи."
А теперь судя по всему и вовсе ключи обновляются периодически в фоне, так что практически невозможно с этой ситуацией столкнуться.
чтобы вспомнить
Невозможно вспомнить то, чего никогда не знал (читай: с проблемой столкнулся впервые).
периодически в фоне
Ему это не по зубам, если он не является постоянно запущенной ОС (другая ОС, комп выключен). Ну, или мне попалась палёная копия с Горбушки.
PS. Ещё могу вспомнить веселье, когда арч на systemd перешёл, а я с этими обновлениями тоже примерно на полгода опоздал.
Когда делают вирусы:
На windows: слепим какую-то фигню чтобы сливать данные в инет.
На macos: либо нечего, либо format C: (ну не прям формат ну что-то серьёзное)
Windows становится очень смешной операционкой. Какие-то костыли на официальном уровне. Неужели на уровне ядра это нельзя защитить?
Они боятся что после этого Windows вообще не запустится.
Помнится, когда КДЕшники ткнули тролварца носом в говну в системном вызове и даже любезно предоставили патч, оный тролварц три витка вокруг нашей галактики на жопной тяге отчебучил прежде, чем пыль осела, и стало возможно разобрать пингвинью клинопись и понять, что вообще происходило в тот эпический исторический момент.
Так что давайте будем последовательны: ядро не должно заниматься проблемами юзерспейса.
Замечательно... А папку Autorun.inf оно не создаёт?
Всегда бесили пустые папки в винде. А тут ее ещё удалять нельзя. Ну скрыть хотя бы не можно?
Microsoft выпустила скрипт на PowerShell, который создаёт папку «C:\inetpub», если она была удалена в Windows 11