Хакер #305. Многошаговые SQL-инъекции
Издание PC Magazine обращает внимание на
некоторые проблемы с "Центром
безопасности" Windows - новым компонентом
операционной системы, появившимся во
втором сервис-паке для Windows XP. "Центр
безопасности" отображает статус трех
основных инструментов обеспечения
безопасности: брандмауэра, антивируса и
автоматических обновлений. Получить доступ
к "Центру безопасности" можно из "Панели
управления" или из системной панели, где
значок Security Center находится рядом с часами.
Однако информация, отображаемая в "Центре
безопасности", может быть подделана.
Анонимное сообщение об этом получили в PC
Magazine и проверили на собственном опыте. Как
выяснилось, у "Центра безопасности"
имеются несколько особенностей, которыми
могут воспользоваться злоумышленники. Дело
в том, что информация о состоянии программ
хранится в базе данных, управляемой
подсистемой Windows Management Instrumentation. Доступ к
Windows Management Instrumentation осуществляется через
набор интерфейсов WBEM, который доступен
любым приложениям, как обычным программам,
так и модулям ActiveX. В результате, у
вредоносной программы может появиться шанс
изменить записи в базе данных и заставить
"Центр безопасности" показывать
ложную информацию. Для этого можно
воспользоваться какой-либо уязвимостью в
защите или дождаться момента, когда она
будет отключена пользователем. Во всяком
случае, редакции PC World удалось подделать
информацию в окне "Центра безопасности"
с помощью простого скрипта. В итоге, в окне
стала отображаться информация о
несуществующих брандмауэре и антивирусе,
якобы стоящих на страже системы. Чтобы
осуществить подобные действия, можно
воспользоваться дырами в Internet Explorer (а о
наличии уязвимостей в браузере с
установленным сервис-паком, уже сообщалось)
либо прорехами в некоторых брандмауэрах и
антивирусах. В итоге, пользователь будет
чувствовать себя в безопасности, тогда как
на его компьютере будут хозяйничать
вредоносные программы. В Microsoft, впрочем, не
считают проблему слишком серьезной.
Отвечая на вопросы PC Magazine, связанные с "особенностями"
"Центра безопасности", в Microsoft отметили,
что при включенном брандмауэре и
антивирусе внести изменения в базу данных
можно только в том случае, если
пользователь сам запустит вредоносную
программу. А в этом случае использовать "Центр
безопасности" не нужно: проникнувшая в
компьютер программа сможет отключить
брандмауэр или антивирус самостоятельно. В
Microsoft также считают неэффективной тактику,
при которой вредоносная программа
незаметно следит за состоянием "Центра
безопасности", дожидаясь ручного
отключения брандмауэра, и только после
этого наносит удар. Скорее, хакеры захотят
сразу отключить защиту компьютера, а не
дожидаться пока эта защита отключится сама,
считают в Microsoft.