Siguiendo los pasos de más
del artículo del año pasado, presento una continuación triste.
En el otoño de 2018, me encontré con un comentario de uno de los creadores del producto y decidí ver si los agujeros en la nueva versión se habían solucionado y tratar de buscar otros nuevos.
Como resultado, se descubrió lo siguiente:
1. La capacidad de eliminar / cambiar el nombre de los controladores se elimina mediante la instalación de derechos de acceso más estrictos para ellos.
Esta decisión fue inequívocamente obvia. Esta fue la única ventaja, seguida de los contras:
2. La protección de los archivos del sistema se deja “tal como está”, probablemente con el objetivo de garantizar la operatividad de los mecanismos de actualización del sistema operativo.
Como resultado, eliminar / renombrar el archivo del sistema y eliminar el servicio de esta manera se puede hacer con la misma facilidad.
Tratamos de borrar el aparentemente inútil winspool.drv, del cual depende dlservice.exe, y reiniciar.
Entramos en el sistema, vemos en el administrador de tareas que el servicio no se inició y ... ¡oppa! Pantalla azul!
Estamos sobrecargados, entramos y nuevamente azul! Devolvemos el archivo al lugar, sobrecargado. El servicio se está ejecutando, ¡nada falla! ¡Eso es porque los astutos hicieron la defensa! Bravo? - No te apresures!
Lo primero que llama la atención es la presencia de un retraso entre entrar y caer en la pantalla azul.
Un atacante puede hacer cosas oscuras, pero muy rápido.
Sin embargo, a las velocidades de las interfaces USB3 y Thunderbolt, puede lograr transferir cien o dos megabytes a una unidad extraíble en tan solo unos segundos entre el inicio de sesión y el bloqueo.
El segundo: el sistema no se bloquea si no inicia sesión. Es decir Aférrese a la red desde su computadora portátil, comparta C $ y tome con calma lo que necesita, ¡porque todo se encuentra, incluido el firewall! Lo principal es la picadura espinosa ... ¡Uf !, no vayas al escritorio remoto y no inicies sesión, ¡caerá de nuevo!
Y finalmente, el tercero: intentamos, en lugar del shell del sistema (de forma predeterminada, naturalmente, Explorer), deslizar un script que copia algo grande, como una base de clientes, en una unidad flash USB (y sí, ¡la clave de registro para editar no está cerrada!).
El efecto es divertido: ¡la pantalla azul no aparece incluso 10 minutos después del trabajo de nuestro script malicioso!
¡La superprotección reacciona al conductor! Para verificar, simplemente ejecútelo y obtenga una pantalla azul. Es decir ¡es suficiente deshabilitar el shell estándar, y la protección se colapsa después de eliminar el archivo del sistema!
Al parecer, los desarrolladores de Smart Line desconocen que el cuadro de diálogo estándar para abrir archivos tiene una funcionalidad casi completa de exploración de archivos y está disponible
inmediatamente después de iniciar sesión desde el administrador de tareas!
Como resultado, tenemos exactamente lo que se esperaba en el artículo anterior: atornillaron tornillos adicionales en el piquete, pero esto no fortaleció en gran medida la protección.
¡Es sorprendente que una compañía tan torpe ofrezca una solución tan torpe como desarrollador de sistemas de protección global!
Además, piensan en los usuarios comunes al final, porque en caso de cualquier falla con daños a los archivos del sistema, esta protección milagrosa simplemente paralizará el funcionamiento regular de la computadora y se dedicará mucho tiempo a la recuperación si no hay personal calificado cerca.
Mientras jugaba con esto, descubrí accidentalmente otro truco al estilo de Apple después de todo: ¡puedes ingresar a la consola de administración en nombre de un usuario normal con una contraseña vacía! Esto es posible si su contraseña coincide con la contraseña de uno de los administradores de DeviceLock seleccionados.
Naturalmente, en mi prueba, las máquinas virtuales tienen 8 contraseñas.
El enfoque de los desarrolladores fue simplemente sorprendente: este es un error de Microsoft y no vamos a solucionarlo. La pregunta, por qué usar el componente problemático, está suspendida en el aire.
También noté que los mecanismos para mejorar los derechos de acceso no son menos torpes: cuando se instala una autoprotección mejorada, las plantillas se aplican sin verificar los resultados. Si de alguna manera el archivo se elimina o los derechos se establecen por adelantado para que el instalador no pueda cambiarlos, entonces no habrá reacción. No aparecerá un error y, después de reiniciar, el servicio no se iniciará o los archivos permanecerán disponibles para su modificación / eliminación. ¿Y este es el trabajo de los profesionales de seguridad?
Como resultado, obtenemos que, en lugar de cambiar la arquitectura extremadamente infructuosa del producto, el desarrollador se limitó a parches torpes e ineficaces y al desarrollo continuo en un estilo extenso. ¡El servicio se ha vuelto aún más grande y el archivo exe ya tiene 18 MB en lugar de 13!
La administración de SmartLine reaccionó lentamente ante la oferta de cooperación para eliminar lo descubierto, lo cual es aún más sorprendente. No pensé que en una empresa de TI seria hay un principio "¿por qué mejorar, la gente está golpeando!".
Uno solo puede adivinar cuántos problemas más tiene este producto. Recorrer más gratis de forma gratuita es simplemente vago. Su uso está altamente desaconsejado, como se mencionó hace más de un año.