Sur les traces de plus que
l'article de l'an dernier, je présente une triste continuation.
À l'automne 2018, je suis tombé sur un commentaire de l'un des créateurs du produit et j'ai décidé de voir si les trous dans la nouvelle version étaient corrigés et d'essayer d'en chercher de nouveaux.
En conséquence, ce qui suit a été découvert:
1. La possibilité de supprimer / renommer des pilotes est supprimée en leur installant des droits d'accès plus stricts.
Cette décision était sans équivoque évidente. C'était le seul plus, suivi des inconvénients:
2. La protection des fichiers système est laissée «telle quelle», probablement dans le but d'assurer l'opérabilité des mécanismes de mise à jour du système d'exploitation.
Par conséquent, la suppression / le renommage du fichier système et la suppression du service de cette manière peuvent être effectués tout aussi facilement.
Nous essayons d'effacer le winspool.drv apparemment inutile, dont dlservice.exe dépend, et redémarrons.
On entre dans le système, on voit dans le gestionnaire de tâches que le service n'a pas démarré et ... oppa! Écran bleu!
Nous sommes surchargés, nous entrons et encore bleu! Nous renvoyons le fichier à l'endroit, surchargé. Le service fonctionne, rien ne plante! C'est parce que les rusés ont fait la défense! Bravo? - Ne vous précipitez pas!
La première chose qui attire votre attention est la présence d'un délai entre l'entrée et la chute dans l'écran bleu.
Un attaquant peut faire des choses sombres, mais très rapidement.
Cependant, aux vitesses des interfaces USB3 et Thunderbolt, vous pouvez réussir à transférer cent ou deux mégaoctets vers un lecteur amovible en quelques secondes entre la connexion et le plantage.
La seconde - le système ne plante pas si vous ne vous connectez pas. C'est-à-dire accrochez-vous au réseau depuis votre ordinateur portable, partagez C $ et prenez calmement ce dont vous avez besoin, car tout se trouve, y compris le pare-feu! L'essentiel est dans la morsure épineuse ... Ugh!, N'allez pas dans le bureau à distance et ne vous connectez pas - il tombera à nouveau!
Et enfin, le troisième - nous essayons à la place du shell système (par défaut, naturellement, Explorer), de glisser un script copiant quelque chose de gros, comme une base de clients, sur une clé USB (et oui, la clé de registre pour l'édition n'est pas fermée!).
L'effet est drôle - l'écran bleu n'apparaît même pas 10 minutes après le travail de notre script malveillant!
La superprotection réagit au conducteur! Pour vérifier, lancez-le et obtenez un écran bleu! C'est-à-dire il suffit de désactiver le shell standard, et la protection s'effondre après avoir supprimé le fichier système!
Les développeurs de Smart Line, semble-t-il, ne savent pas que la boîte de dialogue d'ouverture de fichier standard a une fonctionnalité d'exploration de fichiers presque complète et est disponible
immédiatement après la connexion depuis le gestionnaire de tâches!
En conséquence, nous avons exactement ce qui était attendu dans l'article précédent: ils ont vissé des vis supplémentaires dans le piquet, mais cela n'a pas considérablement renforcé la protection.
Il est surprenant qu'une solution aussi maladroite soit proposée par une entreprise qui se positionne comme développeur de systèmes de protection globale!
De plus, ils pensent aux utilisateurs ordinaires en dernier, car en cas d'échec de la corruption des fichiers système, cette protection miracle paralysera simplement le fonctionnement normal de l'ordinateur et beaucoup de temps sera consacré à la récupération s'il n'y a pas de personnel qualifié à proximité.
En bricolant avec cela, j'ai accidentellement découvert encore une autre astuce dans le style d'Apple: vous pouvez entrer dans la console de gestion au nom d'un utilisateur régulier avec un mot de passe vide! Cela est possible si son mot de passe correspond au mot de passe de l'un des administrateurs DeviceLock sélectionnés.
Naturellement, sur mon test, les machines virtuelles ont toutes 8 mots de passe.
L'approche des développeurs a été simplement frappée - il s'agit d'un bug de Microsoft et nous n'allons pas le corriger. La question, pourquoi utiliser le composant problématique, est suspendue dans l'air.
J'ai également remarqué que les mécanismes d'amélioration des droits d'accès ne sont pas moins maladroits: lors de l'installation d'une autoprotection améliorée, des modèles sont appliqués sans vérifier les résultats. Si le fichier est supprimé d'une manière ou d'une autre ou si les droits sont définis à l'avance afin que le programme d'installation ne puisse pas les modifier, il n'y aura aucune réaction. Une erreur n'apparaîtra pas et après un redémarrage, le service ne démarrera pas ou les fichiers resteront disponibles pour modification / suppression. Et c'est le travail des professionnels de la sécurité?
En conséquence, nous obtenons qu'au lieu de changer l'architecture extrêmement infructueuse du produit, le développeur s'est limité à des correctifs maladroits et inefficaces et à un développement continu dans un style extensif. Le service est devenu encore plus grand et le fichier exe fait déjà 18 Mo au lieu de 13!
La direction de SmartLine a réagi lentement à l'offre de coopération pour éliminer les découvertes, ce qui est encore plus surprenant. Je ne pensais pas que dans une entreprise informatique sérieuse, il y avait un principe "pourquoi s'améliorer, les gens frappent!".
On ne peut que deviner combien de problèmes supplémentaires ce produit a. Pousser plus loin gratuitement est juste paresseux. Son utilisation est fortement déconseillée, comme mentionné il y a plus d'un an.