Сообщается о новой атаке внедрения кода, которая называется «Процесс двойного доступа». Все версии Windows считаются уязвимыми. Было обнаружено, что атака невидима для всех основных продуктов безопасности и, как говорят, не поддается исправлению.
Как можно обнаружить такую атаку и защититься от нее?
Прямо сейчас этот вектор атаки не обнаруживается до тех пор, пока различные производители не обновят свои предложения и / или Microsoft не выпустит исправления.
Таким образом, единственный надежный способ защиты от этой атаки - не подключаться к Интернету.
Вы, конечно, можете принять все меры предосторожности, которые вы уже должны предпринять:
Убедитесь, что ваша ОС и все анти-программы полностью исправлены, а определения обновлены.
Не открывайте вложения, которые вы не ожидаете или которые были отправлены людьми, которых вы не знаете или которым не доверяете
Только просматривать на доверенных сайтах
Убедитесь, что у вас есть адекватная стратегия резервного копирования
Рассмотрите возможность установки чего-то вроде Deep Freeze («С Faronics Deep Freeze вы можете перестать беспокоиться о любых проблемах компьютера, вызванных посещением вредоносных сайтов, случайными изменениями или тому подобным. Если что-то пойдет не так, просто перезагрузите компьютер, и он вернется к своей первоначальной конфигурации. ")
Сообщалось, что:
Процесс Doppelgänging работает даже с самой последней версией Windows 10, кроме Windows 10 Redstone и Fall Creators Update, выпущенной ранее в этом году.
В статье говорится:
Но из-за другой ошибки в Windows 10 Redstone и Fall Creators Update использование Process Doppelgänging вызывает BSOD (синий экран смерти), который приводит к падению компьютеров пользователей.
По иронии судьбы, ошибка сбоя была исправлена Microsoft в более поздних обновлениях, что позволило запускать Process Doppelgänging на последних версиях Windows 10.
Таким образом, в зависимости от того, какие именно патчи вы установили, вы можете использовать BSOD вместо того, чтобы быть уязвимым для эксплойта.
Двойной процесс исходного кода : новая техника уклонения от вредоносного ПО работает на всех версиях Windows
Хорошие новости и плохие новости
Хорошая новость заключается в том, что "существует много технических проблем" при работе с Process Doppelgänging, и злоумышленники должны знать "много недокументированных деталей о создании процесса".
Плохая новость заключается в том, что атака «не может быть исправлена, поскольку она использует основные функции и базовый дизайн механизма загрузки процессов в Windows».
Атака исходного кода «Process Doppelgänging» работает на всех версиях Windows
