Вредоносный код внедрили через консольные службы Windows




Специалисты по информационной безопасности описали новый метод взлома программ, использующих интерфейс командной строки (CLI) Windows, сообщает Threatpost.

Как выяснили исследователи, уязвимость позволяет внедрить в запущенное CLI-приложение сторонний код. Атака получила название Ctrl-Inject, поскольку основана на недостатках функции CtrlRoutine, отвечающей за обработку нажатия клавиши Ctrl. Каждый раз, когда пользователь или приложение посылает команду с использованием Ctrl, системная служба csrss.exe вызывает CtrlRoutine для создания новой ветки в дереве активного процесса. Используя ошибки реализации функции, злоумышленник может выполнить при помощи нее вредоносный код.

Ключевой особенностью нового метода инъекции является отсутствие прямого воздействия на запущенное приложение. Злоумышленнику не требуется самостоятельно вызывать команды CreateRemoteThread или SetThreadContext для того, чтобы создать новую задачу — за него это сделают CtrlRoutine и csrss.exe.

Предотвращать внедрение стороннего кода в запущенные процессы должна служба Control Flow Guard и кодировка указателя (pointer encoding). Однако экспертам удалось преодолеть оба препятствия.

Новая методика вряд ли станет причиной масштабных кибератак, поскольку под угрозой оказалось лишь ограниченное количество консольных приложений. Тем не менее, эксплуатация Ctrl-Inject может иметь серьезные последствия, так как интерфейс командной строки используют преимущественно системные утилиты.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Вредоносный код внедрили через консольные службы Windows
Все рубрики статей:
Топ-сегодня: Безопасность
Пользователям Android-устройств угрожают мошеннические push-уведомления
Технология Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере
Apple рассказала о безопасности macOS Catalina
Компания Apple объявила о новых мерах безопасности, которые реализованы в macOS 10.15 Catalina
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Как узнать емейл человека?
На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека
Данные 900 тыс. россиян оказались в открытом доступе
В открытом доступе в Сети оказались персональные данные клиентов трех российских банков, в общей сложности утечка затрагивает интересы около 900 тыс. россиян
Новые статьи: Безопасность
Пользователям Android-устройств угрожают мошеннические push-уведомления
Технология Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере
Данные 900 тыс. россиян оказались в открытом доступе
В открытом доступе в Сети оказались персональные данные клиентов трех российских банков, в общей сложности утечка затрагивает интересы около 900 тыс. россиян
Уязвимость в Microsoft Office используют спамеры
Исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882
Apple рассказала о безопасности macOS Catalina
Компания Apple объявила о новых мерах безопасности, которые реализованы в macOS 10.15 Catalina
У россиян проверили цифровую грамотность
Москва заняла 21-е место со средним значением уровня цифровой грамотности 7,29 балла

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».