Seguindo os rastros de mais do que
o artigo do ano passado, apresento uma triste continuação.
No outono de 2018, deparei-me com um comentário de um dos criadores do produto e decidi ver se os buracos na nova versão estavam corrigidos e tentar procurar novos.
Como resultado, o seguinte foi descoberto:
1. A capacidade de remover / renomear drivers é eliminada pela instalação de direitos de acesso mais rigorosos a eles.
Esta decisão foi inequivocamente óbvia. Esta foi a única vantagem, seguida pelos contras:
2. A proteção dos arquivos do sistema é deixada "como está", provavelmente com o objetivo de garantir a operacionalidade dos mecanismos de atualização do sistema operacional.
Como resultado, excluir / renomear o arquivo do sistema e interromper o serviço dessa maneira podem ser feitos com a mesma facilidade.
Tentamos apagar o winspool.drv aparentemente inútil, do qual o dlservice.exe depende, e reiniciar.
Entramos no sistema, vemos no gerenciador de tarefas que o serviço não foi iniciado e ... oppa! Tela azul!
Estamos sobrecarregados, entramos e novamente azul! Retornamos o arquivo para o local, sobrecarregado. O serviço está sendo executado, nada falha! Isso porque os astutos fizeram a defesa! Bravo? - Não se apresse!
A primeira coisa que chama sua atenção é a presença de um atraso entre entrar e cair na tela azul.
Um invasor pode fazer coisas sombrias, mas muito rapidamente.
No entanto, nas velocidades das interfaces USB3 e Thunderbolt, você pode transferir cem ou dois megabytes para uma unidade removível em apenas alguns segundos entre o login e a falha.
O segundo - o sistema não falha se você não efetuar o login. I.e. apegue-se à rede a partir do seu laptop, compartilhe C $ e aceite com calma o que você precisa, porque tudo está, incluindo o firewall! O principal é a mordida espinhosa ... Ugh!, Não entre na área de trabalho remota e não faça login - ele cairá novamente!
E finalmente, o terceiro - tentamos, em vez do shell do sistema (por padrão, naturalmente, o Explorer), inserir um script copiando algo grande, como uma base de clientes, em uma unidade flash USB (e sim, a chave do registro para edição não está fechada!).
O efeito é engraçado - a tela azul não aparece nem 10 minutos após o trabalho do nosso script malicioso!
A superproteção reage ao condutor! Para verificar, basta executá-lo e obter uma tela azul! I.e. basta desabilitar o shell padrão e a proteção entra em colapso após a exclusão do arquivo do sistema!
Os desenvolvedores da Smart Line, ao que parece, não sabem que a caixa de diálogo padrão de abertura de arquivo tem quase a funcionalidade completa do explorador de arquivos e está disponível
imediatamente após efetuar login no gerenciador de tarefas!
Como resultado, temos exatamente o que era esperado no artigo anterior: eles aparafusaram parafusos adicionais no piquete, mas isso não fortaleceu muito a proteção.
É surpreendente que uma solução tão desajeitada seja oferecida por uma empresa que se posiciona como desenvolvedora de sistemas de proteção global!
Além disso, eles pensam nos usuários comuns por último, porque, no caso de qualquer falha na corrupção dos arquivos do sistema, essa proteção milagrosa paralisa o funcionamento regular do computador e passa muito tempo na recuperação se não houver pessoal qualificado por perto.
Ao mexer nisso, descobri acidentalmente outro truque no estilo da Apple: afinal, você pode entrar no console de gerenciamento em nome de um usuário comum com uma senha vazia! Isso é possível se a senha dele corresponder à senha de um dos administradores selecionados do DeviceLock.
Naturalmente, nas minhas máquinas virtuais de teste, todas têm 8 senhas.
A abordagem dos desenvolvedores foi simplesmente abordada - esse é um bug da Microsoft e não vamos corrigi-lo. A questão, por que usar o componente problemático, está pairando no ar.
Também notei que os mecanismos para aprimorar os direitos de acesso são menos desajeitados: ao instalar a autoproteção aprimorada, os modelos são aplicados sem verificar os resultados. Se, de alguma forma, o arquivo for excluído ou os direitos forem definidos antecipadamente para que o instalador não possa alterá-los, não haverá reação. Um erro não aparecerá e, após uma reinicialização, o serviço não será iniciado ou os arquivos permanecerão disponíveis para modificação / exclusão. E este é o trabalho dos profissionais de segurança?
Como resultado, obtemos que, em vez de alterar a arquitetura extremamente malsucedida do produto, o desenvolvedor se limitou a patches desajeitados e ineficazes e ao desenvolvimento contínuo em um estilo extenso. O serviço tornou-se ainda maior e o arquivo exe já tem 18 MB em vez de 13!
O gerenciamento do SmartLine reagiu lentamente à oferta de cooperação para eliminar o descoberto, o que é ainda mais surpreendente. Eu não acho que em uma empresa de TI séria exista um princípio "por que melhorar, as pessoas estão batendo!".
Só se pode adivinhar quantos outros problemas esse produto possui. Bisbilhotar de graça ainda é preguiçoso. Usá-lo é altamente desencorajado, como mencionado mais de um ano atrás.