Новости про Microsoft и безопасность

Google, Intel и Microsoft совместно с Alibaba, Arm, Baidu, IBM, Red Hat, Swisscom и Tencent создали организацию Confidential Computing Consortium (CCC).

Целью работы стало «определение и ускорение» полностью безопасных данных от начала до конца на основе открытого исходного кода, который обеспечит целостный процесс без необходимости оплаты конечным пользователем.

Как и стоит ожидать, хостером выступит The Linux Foundation, который уже включает Microsoft Trusted Execution Environments, а также инструменты от Red Hat и Intel.

Данные изменения могут не понравится некоторым правительствам, ведь даже в Великобритании ходят идеи о размещении бэкдоров в программные продукты, чтобы правительство имело к ним доступ.

Однако, новую разработку не стоит ждать в ближайшее время. Каждая компания будет разрабатывать свой продукт, а затем объединит его с другими, сформировав «полное» решение в области приватности.

Сайт Motherboard сообщил, что обладает записями разговоров в Skype. Эти записи предоставили подрядчики Microsoft, которые использовали фрагменты длиной 5—10 секунд для улучшения функции перевода.

Сообщается, что эти фрагменты прослушивались подрядчиками, которые определяли наилучший вариант перевода из предлагаемых, или создавали свой перевод.

Когда Microsoft попросили прокомментировать данный факт, компания пояснила, что распространяла записи по безопасным каналам, при этом удалялась любая ассоциативная информация, которая могла бы связать разговор с конкретным человеком. Также в компании сообщили, что при использовании сервиса пользователи дают разрешение на такие действия и они полностью отвечают законам ЕС.

Кроме Skype, подобная ситуация существует и вокруг Cortana, записи с которой также дают послушать подрядчикам и сотрудникам компании, которые должны улучшить работу искусственного интеллекта или исправить ошибки.

Компания отмечает, что примерно 84% этих атак нацелены на бизнес, а остальные 16% — на персональные учётные записи электронной почты. Статистика сообщает, что атаки проводились на государственном уровне, а количество взломанных учётных записей Microsoft составило 1600 штук.

В компании обвиняют в организации атак такие государства, как Иран, Северную Корею и Россию: «Мы наблюдаем расширяющуюся активность от действующих лиц, называемых нами Ртуть и Гольмий, работающих из Ирана, Таллий — из Северной Кореи, и два лица из России, которые мы назвали Иттрий и Стронций», — пояснил Том Бёрт, корпоративный вице-президент клиентской безопасности и доверительных отношений в Microsoft.

Одна из этих групп, названная Стронций, является хакерской группой Fancy Bear, которую ранее связывали с атаками на Демократическую партию США и выпуском вируса NotPetya.

Как именно поменяется имя, пока не подтверждено, но исходя из прошлого опыта название Windows Defender больше не будет ассоциироваться исключительно с Windows. Ранее, когда в 2017 году Windows Defender ATP (Advanced Threat Protection) был расширен на Android, iOS, macOS и Linux, компания переименовала его на Microsoft Defender ATP. По всей видимости теперь обычный Windows Defender будет называться Microsoft Defender.

Такое переименование логично, ведь сервис будет доступен на множестве платформ, а как показывает опыт, копания может быть вполне успешной и в среде Linux, и в Android. Правда очень сложно представить человека, который будет устанавливать Windows Defender на компьютер Mac или Linux.

Лечение уязвимостей Spectre и Meltdown — крайне важно, ведь о них известно всем хакерам. Но к сожалению, лекарство от Microsoft приводит к снижению производительности, в некоторых случаях — на 30%.

Чтобы побороть эту проблему замедления, компания решила воспользоваться решением Retpoline, созданным Google. Этот патч известен тем, что практически не оказывает влияния на производительность процессора, но при этом защищает от Spectre.

Компания Google представила Retpoline как универсальное решение для Spectre, но в Microsoft применили собственную разработку. Теперь же в Рэдмонде взяли патч от Google, сообщив следующее: «Да, мы включаем Reptoline по умолчанию в нашем рейсе 19H1, наряду с тем, что мы называем „оптимизацией импорта“ для дальнейшего снижение влияния на производительность от Spectre v2 до уровня шума во всех сценариях», — заявил менеджер по разработке ядра Windows/Azure Мехмет Льюгун.

Совсем недавно, Microsoft решила отказаться от своего движка в браузере Edge, перейдя на ядро Chromium. Теперь же фирма использует патчи поискового гиганта. Всё это может означать попадание Microsoft в большую зависимость от Google в будущем.

Опытные пользователи для таких целей создают виртуальные машины, но если вы не хотите с ними заморачиваться, то у Microsoft вскоре будет готовое решение.

Среда Windows Sandbox создаётся безопасной и легкодоступной, а после закрытия теста приложения, вся песочница уничтожается. Никаких виртуальных машин для этого не потребуется, однако виртуализацию придётся включить в BIOS компьютера. Песочница должна войти в состав Windows 10 Pro или Windows 10 Enterprise, и, очевидно, нацелена на опытных домашних пользователей и предприятия.

В ходе работы Windows Sandbox будет каждый раз создавать новую легковесную виртуальную машину (порядка 100 МБ), в которой и будет запускаться неизвестное приложение. В компании будут использовать собственный гипервизор для создания отдельного ядра, изолированного от основного ПК. Тестеры Windows 10 смогу присоединиться к проверке новой функции начиная со сборки 18305.

Целью существования данного файла является автоматический подбор текста для предиктивного ввода. Благодаря ему система пытается выяснить ваш словарный запас и частый порядок используемых слов. Многие другие экранные клавиатуры работают также, но не все хранят информацию открыто. Файл WaitList.dat совсем не защищён, и он может быть скопирован за секунды. А ведь внутри могут лежать важные персональные данные, включая сведения о платёжных картах и пароли.

Уязвимость впервые выявил эксперт Digital Forensics and Incident Response Барнаби Скеггс. Он сообщил: «Текст из каждого документа и электронного письма, проиндексированного сервисом Windows Search Indexer, хранится в WaitList.dat. Не только файлы, с которыми взаимодействовали посредством написания на сенсорном экране».

Сам файл лежит по пути C:\Users\%user%\AppData\Local\Microsoft\InputPersonalization\TextHarvester.

Если вы озабочены безопасностью своих данных, то вам стоит удалить данный файл и отключить распознавание рукописного текста. В настоящее время нет сведений о том, что данный файл отправлялся в Microsoft, а также о том, что какое-либо вредоносное ПО использует данную особенность системы. В будущем же хотелось бы видеть патч от Microsoft, который добавит немного секретности к данным в файле WaitList.dat.

Функция получила название InPrivate Desktop, а её предварительная версия была обнаружена в Windows 10 Insider Feedback Hub. В описании говорится, что InPrivate Desktop for Windows 10 обеспечит «разовую песочницу для безопасного однократного исполнения недоверенного ПО». Это значит, что целью внедрения песочницы является снижение рисков для хост-системы при исполнении сомнительных программ.

Разбор Feedback Hub также показал, что функция InPrivate Desktop будет доступна исключительно для Windows 10 Enterprise, начиная с версии 17718. Для её работы потребуется как минимум 4 ГБ ОЗУ, 5 ГБ дискового пространства и два ядра процессора. Безусловно, функция гипервизора должна быть включена в BIOS.

Пока Microsoft официально не анонсировала функцию, так что о сроках её выпуска ничего не известно.

Данный слух появился на основании пресс-релиза Synaptics, которая объединила свои усилия с AMD в создании «нового промышленного бенчмарка по биометрической аутентификации отпечатками пальцев с высокой безопасностью». Партнёрство нацелено на внедрение датчика Synaptics FS7600, технология которого предусматривает собственное хранение и обработку текстур отпечатков. Это значит, что текстуры хранятся и обрабатываются отдельно от всей системы и ОС, создавая дополнительный слой безопасности в процессе аутентификации.

Технология будет опробована на платформе AMD Ryzen Mobile и новой операционной системе Microsoft, о чём в первом абзаце пресс-релиза сказано дважды.

Пока же от Microsoft не поступало никаких комментариев. По слухам, новая версия ОС, называемая Windows Core OS, будет иметь модульную структуру, адаптируемую для разных типов устройств. Вариант структуры с кодовым именем Polaris предназначен для настольных ПК. Для ноутбуков будет создана другая конфигурация.

Уязвимость кроется в системе обновления клиента и использует технику угона DLL. Суть опасности кроется во вредоносном коде, который размещается в DLL файле во временной папке, доступной пользователю. При этом библиотека переименовывается в название существующей библиотеки, доступной пользователю. При поиске обновлений Skype первой находит именно эту поддельную библиотеку и запускает вредоносный код из неё, дающий системные привилегии.

В результате атакующий может делать с машиной жертвы «что угодно». Сам Кантак проинформировал компанию Microsoft о найденной уязвимости ещё в сентябре, однако софтверный гигант ответил, что исправление ошибки потребует «большой переработки кода». Поэтому в компании считают, что ей лучше направить «все ресурсы» на создание новой версии клиента.