Geekly Articles each Day

DeviceLock 8.3 DLPシステム:1年が経過しました、Billy、しかしあなたはまったく変わっていません

昨年の記事以上の足跡で、私は悲しい続き提示します。

2018年の秋に、製品の作成者の1人からコメントがあり、新しいバージョンの穴が修正されたかどうかを確認し、新しいバージョンを探すことにしました。

その結果、次のことが発見されました。

1.ドライバーへのより厳しいアクセス権をインストールすることにより、ドライバーを削除/名前変更する機能がなくなります。

この決定は明白でした。 これが唯一のプラスであり、次に短所が続きました。

2.おそらくオペレーティングシステムの更新メカニズムの操作性を確保する目的で、システムファイル保護は「そのまま」残されます。

その結果、システムファイルの削除/名前変更、およびこの方法でのサービスのノックダウンは、同じように簡単に実行できます。

dlservice.exeが依存している一見役に立たないwinspool.drvを消去して、リブートします。

システムに入ると、サービスが開始されなかったことがタスクマネージャーに表示され、... oppa! ブルースクリーン!
私たちは過負荷になり、入り、再び青になります! オーバーロードされた場所にファイルを返します。 サービスは実行中ですが、何もクラッシュしません! それはな者たちが防御をしたからです! ブラボー? -急がないでください!

あなたの目を引く最初のことは、ブルースクリーンに入ってから落ちるまでの遅延の存在です。
攻撃者は暗いことができますが、非常に迅速です。

ただし、USB3およびThunderboltインターフェイスの速度では、ログインとクラッシュの間の数秒で数百または2メガバイトをリムーバブルドライブに転送できます。

2番目-ログインしなくてもシステムはクラッシュしません。 つまり ラップトップからネットワークにしがみついて、C $を共有し、必要なものを冷静に受け取ります。ファイアウォールを含むすべてのものがあるからです。 主なものは、とげだらけの一口です...うーん、リモートデスクトップに移動してログインしないでください-それは再び落ちるでしょう!

そして最後に、3番目-システムシェル(デフォルトでは当然、エクスプローラー)の代わりに、クライアントベースなどの大きなものをUSBフラッシュドライブにコピーするスクリプトをスリップします(そして、はい、編集用のレジストリキーは閉じられません!)

効果はおかしいです-ブルースクリーンは、悪意のあるスクリプトの作業の10分後でも表示されません!

スーパープロテクションは導体に反応します! 確認するには、実行してブルースクリーンを表示するだけです! つまり 標準のシェルを無効にするだけで十分です。システムファイルを削除すると、保護が崩れます。

Smart Lineの開発者は、標準のファイルを開くダイアログにほぼすべてのファイルエクスプローラー機能があり、利用可能であることは明らかではありません
タスクマネージャーからログインした直後!

その結果、前の記事で予想されていたとおりの結果が得られました。追加のネジをピケットにねじ込みましたが、これは保護を大きく強化しませんでした。

このような不器用なソリューションが、グローバル保護システムの開発者としての地位を確立している企業によって提供されていることは驚くべきことです!

さらに、システムファイルの破損に失敗した場合、この奇跡の保護はコンピューターの通常の動作を麻痺させるだけであり、近くに有資格者がいない場合は回復に多くの時間が費やされるため、彼らは一般ユーザーを最後に考えます。

これをいじくり回しながら、私は偶然にもAppleスタイルの別のトリックを偶然発見しました。空のパスワードを持つ普通のユーザーとして管理コンソールに入ることができます! これは、彼のパスワードが選択したDeviceLock管理者のいずれかのパスワードと一致する場合に可能です。
当然、テスト用の仮想マシンにはすべて8つのパスワードがあります。

開発者のアプローチは単純に打たれました-これはMicrosoftのバグであり、修正するつもりはありません。 問題のコンポーネントを使用する理由は、宙に浮いています。

また、アクセス権を強化するメカニズムが不器用になっていることにも気付きました。強化された自己保護をインストールすると、結果を確認せずにテンプレートが適用されます。 なんらかの方法でファイルが削除されるか、インストーラーがそれらを変更できないように権限が事前に設定されている場合、反応はありません。 エラーは表示されず、再起動後にサービスが開始されないか、ファイルが変更/削除可能な状態のままになります。 そして、これはセキュリティの専門家の仕事ですか?

その結果、開発者は非常に失敗した製品アーキテクチャを変更する代わりに、不器用で効果のないパッチに限定し、広範なスタイルで継続的に開発することになりました。 サービスはさらに大きくなり、exeファイルは既に13 MBではなく18 MBです!

SmartLineの経営陣は、発見されたものを排除するための協力の提案に鈍感に反応しましたが、これはさらに驚くべきことです。 真面目なIT企業では、「改善する理由、人々がホップする」という原則が当てはまるとは思いませんでした。

この製品が抱えている問題の数を推測することしかできません。 さらに無料で突っ走るのは怠け者です。 1年以上前に述べたように、それを使用することは非常に推奨されません。

Source: https://habr.com/ru/post/J444390/

More articles:


All Articles