Новости про Microsoft, безопасность и операционные системы

Некоторые файлы реестра в системах Windows доступны для группы «Пользователи», что даёт возможность кому угодно извлекать хэшированные учётные данные администраторских учётных записей и использовать их для получения администраторских привилегий.

Эти файлы реестра хранятся в папке C:\Windows\system32\config. Там можно обнаружить файлы SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые содержат важную информацию, доступ к которой должен быть запрещён на низких уровнях. Но на самом деле это не так. Когда пользователь залогинился, файлы используются, что означает невозможность получения к ним доступа незваными гостями. Однако эти файлы резервируются системой теневого создания резервных копий в Windows, к которой у пользователей доступ имеется.

Компания Microsoft подтвердила уязвимость и готовится скоро выпустить исправления. Однако можно сделать это и вручную. Для этого нужно выполнить с правами администратора следующую командную строку: icacls %windir%\system32\config\*.* /inheritance:e. Все сделанные Windows ранее резервные копии нужно удалить.

Опытные пользователи для таких целей создают виртуальные машины, но если вы не хотите с ними заморачиваться, то у Microsoft вскоре будет готовое решение.

Среда Windows Sandbox создаётся безопасной и легкодоступной, а после закрытия теста приложения, вся песочница уничтожается. Никаких виртуальных машин для этого не потребуется, однако виртуализацию придётся включить в BIOS компьютера. Песочница должна войти в состав Windows 10 Pro или Windows 10 Enterprise, и, очевидно, нацелена на опытных домашних пользователей и предприятия.

В ходе работы Windows Sandbox будет каждый раз создавать новую легковесную виртуальную машину (порядка 100 МБ), в которой и будет запускаться неизвестное приложение. В компании будут использовать собственный гипервизор для создания отдельного ядра, изолированного от основного ПК. Тестеры Windows 10 смогу присоединиться к проверке новой функции начиная со сборки 18305.

Данный слух появился на основании пресс-релиза Synaptics, которая объединила свои усилия с AMD в создании «нового промышленного бенчмарка по биометрической аутентификации отпечатками пальцев с высокой безопасностью». Партнёрство нацелено на внедрение датчика Synaptics FS7600, технология которого предусматривает собственное хранение и обработку текстур отпечатков. Это значит, что текстуры хранятся и обрабатываются отдельно от всей системы и ОС, создавая дополнительный слой безопасности в процессе аутентификации.

Технология будет опробована на платформе AMD Ryzen Mobile и новой операционной системе Microsoft, о чём в первом абзаце пресс-релиза сказано дважды.

Пока же от Microsoft не поступало никаких комментариев. По слухам, новая версия ОС, называемая Windows Core OS, будет иметь модульную структуру, адаптируемую для разных типов устройств. Вариант структуры с кодовым именем Polaris предназначен для настольных ПК. Для ноутбуков будет создана другая конфигурация.

Ранее, при подготовке Windows 10, компания уже заявляла о своих планах по прекращению поддержки неподписанных драйверов, однако не смогла этого сделать в связи с техническими проблемами и ограничениями экосистемы. С выпуском годового обновления ситуация изменилась, и теперь драйверы ядра должны иметь цифровую подпись, или они не будут больше загружены.

Данное изменение нацелено на повышение уровня безопасности, оно снижает риск повреждения системы вредоносными драйверами, однако оно резко сужает возможности энтузиастов ПК по управлению своими машинами, а также не позволяет использовать редкое и устаревшее оборудование.

Однако не всё так плохо. Изменения коснутся лишь свежеустановленных системы. Те же системы, которые обновились с предыдущих версий до Windows 10, а также системы с установленным обновлением Anniversary Update, смогут по-прежнему использовать драйверы без цифровой подписи.

Несмотря на то, что это возможно в корпоративной редакции ОС, потребительские версии не получат такой возможности. Софтверный гигант аргументировал своё решение общим увеличением производительности Windows 10.

Когда пользователи впервые открывают для себя, что Windows 10 отсылает данные в Microsoft, многие не удивляются этому. Функции, подобные Cortana, требуют сбора данных, и некоторые надеялись, что сбор данных может быть выключен. Теперь же появилось подтверждение о том, что Windows 10, вероятно, не станет отключать сбор всех данных.

Белфиор отметил: «В случае знания того, что наша операционная система, которую мы создали, столкнётся со сбоем, или будет испытывать серьезные проблемы с производительностью, мы считаем это [сбор данных] крайне полезным для экосистемы и это не является угрозой персональной безопасности, ведь сегодня мы собираем такие данные, какие позволят нам сделать работу с системой лучше для всех. И в этих случаях мы не даём выбора, мы чувствуем, что мы делаем это на благо здоровья системы, и мы не используем никакой личной информации или информации, связанной с приватностью».

Несмотря на то, что поддержка ОС будет прекращена в апреле 2014, уже сейчас система является крайней уязвимой.

Если верить отчёту безопасности Security Intelligence Report от самой Microsoft, то выходит, что 9,1 компьютеров, с Windows XP SP3 на борту, из 1000, заражены вредоносным ПО, что в целых 6 раз больше, чем было обнаружено на машинах с Windows 8.

Эти данные получены компанией из более чем миллиарда источников. К примеру, информация поступала из собственных продуктов компании, таких как Malicious Software Removal Tool, Exchange Online, Windows Defender и прочих, позволяя оценить ситуацию на массе компьютеров с Windows, расположенных по всему миру. Информация собиралась в течение первых 6 месяцев 2013 года. Так что если вы по-прежнему используете эту ОС 12-и летней давности, то вам всё же стоит задуматься о переходе на новые продукты, или подобрать себе альтернативную платформу.

Это аппаратное обеспечение продавалось в Китае, в результате чего были инфицированы миллионы компьютеров по всему миру. Это ПО было разработано чтобы шпионить над пользователями и устраивать denial-of-service атаки, отмечают в Microsoft.

Ричард Домингес Боскович (Richard Domingues Boscovich), ассистент главного консультанта Подразделения по борьбе с цифровыми преступлениями Microsoft заявил, что киберпреступники «могли добраться до вас. Они будут делать всё,  что захочется. Если поставщики поставляют компьютеры именно так, то это именно то, что они [преступники] и собрались сделать».

В Редмонде начали расследование, назвав его «Операция b70». Это привело к выключению системы «команда-и-управление» в к компьютерах, инфицированным Nitol, частью вредоносного ПО, установленного на проверенных машинах. Этот вирус Nitol легко распространяется через съёмные накопители.

Следователи приобрели 20 ноутбуков и настольных ПК в розничных китайских интернет магазинах. Все приобретенные компьютеры имели контрафактные копии Windows XP или Windows 7. Три компьютера имели неактивное вредоносное ПО, но четверть машин имели живые версии Nitol.A, который просыпался после подключения компьютера к Интернету.

Также результаты следствия установили интересный факт: все компьютеры были заражены уже после того, как они покинули завод, поскольку ОС предустанавливалась на машины позже, где-то в розничной сети.