Новости про Microsoft и безопасность

Специалист в области безопасности Linux Мэтью Гарретт решил проанализировать реализацию Microsoft Pluton на процессорах Ryzen Pro 6860Z Zen3+, но он столкнулся с проблемами, поскольку система Linux даже не установилась.

По всей видимости прошивка не доверяет любому загрузчику, отличному от Microsoft, а также любым драйверам, использующим сторонний ключ UEFI CA. Иными словами, установить любую ОС, отличную от Windows, на машину с этим процессором невозможно. Кроме того, любая сторонняя периферия, подключённая через Thunderbolt работать не будет.

По данным Гарретта решение не обеспечивает дополнительной безопасности, а лишь усложняет пользователям работу с любой ОС, отличной от Windows. К счастью, чип Pluton можно отключить в UEFI, что позволит полноценно пользоваться купленным компьютером.

По всей видимости хакеры даже не хотят заморачиваться, и в качестве своих целей не выбирают сложные длинные пароли, независимо от того, содержат ли они сложные символы. То, что смешивание чисел, маленьких и больших букв осложняет жизнь взломщику, известно годами. Большинство ресурсов даже не разрешает использовать «простые» пароли, состоящие лишь из букв. Но оказалось, что использование «какогонибудьзамысловатогопароля» из одних букв тоже достаточно эффективно, и хакеры скорее всего не станут его взламывать, а попробуют подобрать короткий пароль, типа «pArsew0rd».

Эту информацию опубликовал Росс Бевингтон, исследователь в области безопасности в Microsoft. Он сообщил, что после изучения миллиона брутфорс-атак на SSH за 30 дней в сети Microsoft, 77% попыток связаны с использованием паролей длиной от 1 до 7 символов. Пароли, длиной более 10 символов пытались взломать в 6% случаев.

Сам Бевингтон занимает в компании весьма интересную должность, которая называется Глава отдела дезинформации. Это значит, что у него довольно широкие полномочия и задачи, и среди них есть создание ловушек, законно-выглядящих систем, которые хакеры пытаются взломать, что позволяет изучать тенденции и применяемые пути взлома.

Исследователи в области безопасности из Bitdefender выявили новый зловред, который на самом деле является руткитом. Особенным его делает то, что он подписан самой Microsoft. Вредоносный драйвер FiveSys получил сертификат Windows Hardware Quality Labs (WHQL), после того, как компания внимательно проверила пакет драйвера, как и остальные, направляемые партнёрами по программе Windows Hardware Compatibility Program (WHCP).

Безопасники рассказали о действии выявленного руткита:

Цель руткита проста: он нацелен на перенаправление интернет-траффика инфицированных машин на специальный прокси, который содержит список из 300 доменов. Перенаправление работает как на HTTP, так и на HTTPS. Руткит устанавливает собственные корневой сертификат для перенаправления HTTPS. Таким образом, браузер не предупреждает об использовании неизвестного прокси-сервера.

Важно отметить, что FiveSys распространяется исключительно в Китае, что потенциально говорит о нацеленности зловреда на этот регион. Также исследователи сообщили, что руткит блокирует модификации реестра, чтобы не допустить аналогичные действия от конкурирующих зловредов.

Некоторые файлы реестра в системах Windows доступны для группы «Пользователи», что даёт возможность кому угодно извлекать хэшированные учётные данные администраторских учётных записей и использовать их для получения администраторских привилегий.

Эти файлы реестра хранятся в папке C:\Windows\system32\config. Там можно обнаружить файлы SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые содержат важную информацию, доступ к которой должен быть запрещён на низких уровнях. Но на самом деле это не так. Когда пользователь залогинился, файлы используются, что означает невозможность получения к ним доступа незваными гостями. Однако эти файлы резервируются системой теневого создания резервных копий в Windows, к которой у пользователей доступ имеется.

Компания Microsoft подтвердила уязвимость и готовится скоро выпустить исправления. Однако можно сделать это и вручную. Для этого нужно выполнить с правами администратора следующую командную строку: icacls %windir%\system32\config\*.* /inheritance:e. Все сделанные Windows ранее резервные копии нужно удалить.

Исследователь в области безопасности из Secret Club Йонас Ликкегард выявил, что после использования сессии RDP он нашёл в памяти пароли, которые хранились открытым текстом. Он не поверил в свою находку, и повторил эксперименты, которые окончились с тем же результатом, но с новой учётной записью.

Повторив действия, другие люди также получили аналогичный результат. Правда, неизвестно, какая версия Windows при этом использовалась.

Чтобы не нагнетать панику отметим, что во временном хранении паролей в памяти нет ничего необычного, кроме факта отсутствия их шифрования. Странно, что они не вычищаются соответствующим образом после использования. Но даже это не является основанием для паники. Однако факт того, что уязвимость может быть легко использована злоумышленниками для противоправных действий остаётся в силе. Доступность хакеру удалённого или физического подключения к машине — это очень сложный процесс, однако он не исключён полностью. Так что проблема всё-таки требует решения для предотвращения возможных проблем с безопасностью в будущем.

И вот, со следующего месяца Microsoft также решила полностью перейти на SHA-2. Как можно догадываться по названию, этот алгоритм является усовершенствованным, более безопасным и быстрым. Все доверенные корневые сертификаты SHA-1 будут работать до их истечения, а большинство процессов, включая сертификаты TLS, хэширование файлов и подписание кода будут выполняться исключительно при помощи SHA-2 начиная с 9 мая.

Этот шаг вряд ли можно считать неожиданным. Два года назад Microsoft начала выпускать обновления Windows, подписанные SHA-2, а в Download Center с конца 2020 года.

В компании пояснили, что до истечения срока действия будут работать только сертификаты SHA-1 Root CA. при этом сертификаты вручную подписанные при помощи SHA-1 самими предприятиями не пострадают. Тем не менее, предприятиям рекомендуется переходить на SHA-2.

Для этого она разрабатывает различные технологии, включая Windows Hello, Microsoft Authenticator, ключи безопасности FIDO2 и систему аутентификации по венам ладони.

Фирма отметила, что прилагала все усилия для уничтожения паролей в 2020 году, и продолжит это делать и в 2021. Сообщается, что почти 80% кибератак нацелены на пароли, и один из 250 корпоративных аккаунтов каждый месяц из-за этого компрометируется. Учитывая это, софтверный гигант хочет перевести людей на беспарольные решения. В ноябре 2019 года около 100 миллионов человек использовали беспарольные методы входа. В мае 2020 года это число выросло до 150 миллионов. Эта статистика наглядно показывает, как быстро люди уходят от ввода паролей не только из-за их небезопасности, но и из-за сложностей с их запоминанием.

В 2021 году Microsoft хочет сделать пароли устаревшими для всех своих клиентов. Она разрабатывает новые API и UX для обслуживания ключей FIDO2. Также она хочет представить «сводный регистрационный портал», где клиенты смогут управлять беспарольными учётными данными. Все надеются, что в 2021 году мы вернёмся к нормальной жизни, в то же время в Microsoft хотят максимально упростить работу с онлайн сервисами.

Работая со своими аппаратными партнёрами, компания Microsoft создала процессор Pluton Security, который является технологией безопасности «от чипа до облака». Разработкой занимались подразделения Microsoft Xbox и Azure Sphere. Благодаря этому чипу компания хочет привнести безопасность в «самую основу» компьютеров с Windows, усилив интеграцию аппаратного и программного обеспечения для «исключения атак всех направлений».

В настоящее время неизвестно, когда AMD, Intel и Qualcomm выпустят свои CPU с процессором Microsoft Pluton Security. Обновление прошивки для процессора будет выполняться через Windows, что гарантирует пользователям всегда актуальное состояние системы безопасности, не полагаясь на обновления BIOS и сторонних разработчиков.

Процессор Pluton будет простым в обслуживании и обновлении и будет работать как хаб безопасности, отделённый от прочих аспектов пользовательских CPU. Критические данные, такие как ключи безопасности, будут храниться в процессоре Pluton, исключая возможные атаки на CPU с целью завладевания критический важной информацией. Это не только повысит безопасность будущих компьютеров с Windows, но и улучшит всю экосистему PC.

Система Windows Defender System Guard защищает от атак в прошивке, гарантируя безопасную загрузку посредством аппаратных решений в области безопасности, включая аттестацию на уровне гипервизора и технологии Secure Launch, известной как Dynamic Root of Trust (DRTM), которая включает безопасное ядро на ПК по умолчанию. Новый движок сканирования UEFI распространяется на эти защиты, делая сканирование прошивки более широкой практикой.

Сканер UEFI является новым компонентов встроенного в Windows 10 антивируса. Он даёт Microsoft Defender ATP уникальную возможность сканирования файловой системы прошивки и выполнять обслуживание в области безопасности.

Уязвимость затрагивает Adobe Type Manager Library. Эта библиотека помогает Windows осуществлять рендер шрифтов. Чтобы использовать уязвимость, «хакер должен заставить пользователя открыть специально созданный документ, либо просмотреть его в виде эскиза Windows Preview», — сообщает Microsoft. Уязвимость имеет наивысший «критический» уровень опасности.

В настоящее время патч не подготовлен. Как правило, исправления подобного рода приходят во вторник обновлений, ближайший из которых наступит 14 апреля. Пока же компания рекомендует отказаться от просмотра эскизов в Windows Explorer.