Auf den Spuren von mehr als dem
letztjährigen Artikel präsentiere ich eine traurige Fortsetzung.
Im Herbst 2018 stieß ich auf einen Kommentar eines der Entwickler des Produkts und beschloss, zu prüfen, ob die Lücken in der neuen Version behoben waren, und nach neuen zu suchen.
Als Ergebnis wurde Folgendes entdeckt:
1. Die Möglichkeit, Treiber zu entfernen / umzubenennen, wird durch die Installation strengerer Zugriffsrechte auf sie beseitigt.
Diese Entscheidung war eindeutig offensichtlich. Dies war das einzige Plus, gefolgt von den Nachteilen:
2. Der Schutz von Systemdateien bleibt unverändert, wahrscheinlich mit dem Ziel, die Funktionsfähigkeit der Betriebssystemaktualisierungsmechanismen sicherzustellen.
Das Löschen / Umbenennen der Systemdatei und das Herunterfahren des Dienstes auf diese Weise ist daher genauso einfach.
Wir versuchen, die scheinbar nutzlose winspool.drv, von der dlservice.exe abhängt, zu löschen und neu zu starten.
Wir betreten das System, wir sehen im Task-Manager, dass der Dienst nicht gestartet wurde und ... oppa! Blauer Bildschirm!
Wir sind überladen, wir treten ein und wieder blau! Wir geben die Datei überladen an den Ort zurück. Der Dienst läuft, nichts stürzt ab! Das liegt daran, dass die Schlauen die Verteidigung übernommen haben! Bravo? - Beeil dich nicht!
Das erste, was auffällt, ist das Vorhandensein einer Verzögerung zwischen dem Betreten und dem Fallen in den blauen Bildschirm.
Ein Angreifer kann dunkle Dinge tun, aber sehr schnell.
Bei den Geschwindigkeiten der USB3- und Thunderbolt-Schnittstellen können Sie jedoch in wenigen Sekunden zwischen dem Anmelden und dem Absturz hundert oder zwei Megabyte auf ein Wechseldatenträger übertragen.
Das zweite - das System stürzt nicht ab, wenn Sie sich nicht anmelden. Das heißt, Halten Sie sich von Ihrem Laptop aus am Netzwerk fest, teilen Sie C $ und nehmen Sie ruhig das, was Sie brauchen, denn alles liegt, einschließlich der Firewall! Die Hauptsache ist der dornige Biss ... Ugh! Gehen Sie nicht auf den Remote-Desktop und melden Sie sich nicht an - er wird wieder fallen!
Und schließlich die dritte - wir versuchen, anstelle der System-Shell (standardmäßig natürlich Explorer) ein Skript, das etwas Großes wie einen Client-Stamm kopiert, auf ein USB-Flash-Laufwerk zu kopieren (und ja, der Registrierungsschlüssel zum Bearbeiten ist nicht geschlossen!).
Der Effekt ist lustig - der blaue Bildschirm erscheint nicht einmal 10 Minuten nach der Arbeit unseres bösartigen Skripts!
Superprotection reagiert auf den Leiter! Um dies zu überprüfen, führen Sie es einfach aus und erhalten Sie einen blauen Bildschirm! Das heißt, Es reicht aus, die Standard-Shell zu deaktivieren, und der Schutz wird nach dem Löschen der Systemdatei aufgehoben!
Entwickler von Smart Line wissen anscheinend nicht, dass der Standarddialog zum Öffnen von Dateien fast die volle Funktionalität des Datei-Explorers bietet und verfügbar ist
sofort nach dem Einloggen vom Task-Manager!
Als Ergebnis haben wir genau das, was im vorherigen Artikel erwartet wurde: Sie haben zusätzliche Schrauben in die Streikposten geschraubt, aber dies hat den Schutz nicht wesentlich verstärkt.
Es ist überraschend, dass eine solche ungeschickte Lösung von einem Unternehmen angeboten wird, das sich als Entwickler globaler Schutzsysteme positioniert!
Darüber hinaus denken sie zuletzt an normale Benutzer, denn im Falle eines Fehlers mit einer Beschädigung der Systemdateien lähmt dieser Wunderschutz einfach den regulären Betrieb des Computers und es wird viel Zeit für die Wiederherstellung aufgewendet, wenn kein qualifiziertes Personal in der Nähe ist.
Während ich daran bastelte, entdeckte ich versehentlich einen weiteren Trick im Stil von Apple: Sie können die Verwaltungskonsole im Namen eines normalen Benutzers mit einem leeren Passwort aufrufen! Dies ist möglich, wenn sein Kennwort mit dem Kennwort eines der ausgewählten DeviceLock-Administratoren übereinstimmt.
Bei meinem Test haben virtuelle Maschinen natürlich alle 8 Passwörter.
Der Ansatz der Entwickler wurde einfach getroffen - dies ist ein Microsoft-Fehler und wir werden ihn nicht beheben. Die Frage, warum die Problemkomponente verwendet wird, hängt in der Luft.
Mir ist auch aufgefallen, dass die Mechanismen zur Verbesserung der Zugriffsrechte nicht weniger umständlich sind: Bei der Installation eines erweiterten Selbstschutzes werden Vorlagen angewendet, ohne die Ergebnisse zu überprüfen. Wenn die Datei irgendwie gelöscht oder die Rechte im Voraus festgelegt werden, damit das Installationsprogramm sie nicht ändern kann, erfolgt keine Reaktion. Ein Fehler wird nicht angezeigt, und nach einem Neustart wird der Dienst entweder nicht gestartet oder die Dateien bleiben zum Ändern / Löschen verfügbar. Und das ist die Arbeit von Sicherheitsexperten?
Als Ergebnis erhalten wir, dass sich der Entwickler, anstatt die äußerst erfolglose Architektur des Produkts zu ändern, auf ungeschickte, ineffektive Patches beschränkte und die Entwicklung in einem umfangreichen Stil fortsetzte. Der Service ist noch größer geworden und die Exe-Datei ist bereits 18 MB statt 13!
Das SmartLine-Management reagierte schleppend auf das Angebot der Zusammenarbeit, um das Entdeckte zu beseitigen, was noch überraschender ist. Ich hätte nicht gedacht, dass es in einem seriösen IT-Unternehmen ein Prinzip gibt: "Warum verbessern, Leute schlagen!".
Man kann nur raten, wie viele weitere Probleme dieses Produkt hat. Kostenlos weiter zu stöbern ist einfach faul. Es wird dringend davon abgeraten, es zu verwenden, wie vor mehr als einem Jahr erwähnt.