27 декабря, 2024

Orsk.today

Будьте в курсе последних событий в России благодаря новостям Орска, эксклюзивным видеоматериалам, фотографиям и обновленным картам.

Функция отзыва Microsoft более уязвима для взлома, чем вы думали

Функция отзыва Microsoft более уязвима для взлома, чем вы думали

Генеральный директор Microsoft Сатья Наделла похвалил новую функцию отзыва данных компании, которая сохраняет историю рабочего стола вашего компьютера и делает ее доступной для анализа искусственного интеллекта, как «фотографическую память» вашего компьютера. Между тем, в сообществе кибербезопасности идея инструмента, который автоматически делает снимок экрана вашего рабочего стола каждые пять секунд, была провозглашена сбывшейся мечтой хакера и худшей идеей продукта за последнее время.

Теперь исследователи безопасности отметили, что даже единственную оставшуюся меру безопасности, предназначенную для защиты этой функции от эксплуатации, можно тривиально обойти.

С момента первого анонса Recall в прошлом месяце мир кибербезопасности отметил, что если хакер сможет установить вредоносное ПО, чтобы закрепиться на целевом устройстве с включенной функцией, он сможет быстро получить доступ ко всей истории пользователей, хранящейся с помощью этой функции. Единственным препятствием для просмотра всей жизни жертвы с высоким разрешением перед клавиатурой, по-видимому, является то, что для доступа к данным Recall требуются права администратора на устройстве пользователя. Это означает, что вредоносное ПО без привилегий верхнего уровня вызовет всплывающее окно с разрешением, позволяющее пользователям отказать в доступе, и этому вредоносному ПО, скорее всего, по умолчанию будет заблокирован доступ к данным на большинстве корпоративных устройств.

Затем Джеймс Форшоу, исследователь из исследовательской группы Google Project Zero, опубликовал в среду сообщение: Обновление записи в блоге Указывая на то, что он нашел способы получить доступ к данным отзыва. без Привилегии администратора – по сути, снятие даже последнего фигового листка защиты. «Админ не требуется ;-)» — закончился пост.

«Проклятый» Форшо Добавлено на Мастодонте. «Я действительно думал, что безопасность базы данных призывов будет, по крайней мере, надежной».

В блоге Форшоу описаны два разных метода обхода требований к привилегиям администратора, оба из которых используют способы обхода основной функции безопасности в Windows, известной как списки контроля доступа, которые указывают, какие элементы на компьютере требуют привилегий для чтения и изменения. Один метод Форшоу использует исключение из этих меню управления, временно выдавая себя за программу на компьютерах Windows под названием AIXHost.exe, которая может получить доступ даже к базам данных с ограниченным доступом. Есть другой, более простой способ: Форшоу указывает, что, поскольку данные отзыва, хранящиеся на устройстве, считаются собственностью пользователя, хакер с теми же привилегиями, что и пользователь, может просто переписать списки контроля доступа на целевом устройстве, чтобы предоставить себе доступ. в полную базу данных.

Этот второй, более простой метод обхода «откровенно говоря, довольно удивителен», — говорит Алекс Хагина, стратег по кибербезопасности и этический хакер. Хагена недавно создала хакерский инструмент для проверки концепции под названием TotalRecall, призванный показать, что тот, кто получил доступ к устройству жертвы с помощью Recall, может мгновенно получить всю историю пользователей, записанную этой функцией. Однако инструмент Хагины по-прежнему требует от хакеров найти другой способ получить права администратора с помощью так называемой техники «повышения привилегий», прежде чем его инструмент сможет работать.

Благодаря технологии Forshow «вам не нужно ни повышение привилегий, ни всплывающие окна, ничего», — говорит Хагина. «Было бы разумно реализовать это в инструменте для плохого парня».

سكس سمينات مصرى porn-loop.net سكس ونيك مصري stl result 2pm today tvteleserye.net the marriage broken vow may 31 2022 full episode sridevi ki blue film indianpornfeed.com desi49 bhabhi nude sex tubzolina.mobi gonzomoves palalimin superpinoy.net to have and to hold november 12 desi hard fuck porngalstube.com xviedos indian bihar xxx video com alexporn.mobi xnxx rape.com 3gp king indian video justerporn.mobi russian xxx blue film porn 妻が友人の結婚式で家にいない間に爆乳で美人の妻の姉を犯し中出ししまくった5日間の調教記録 織田真子 sakurajav.mobi お姉さんの爆乳が卑猥過ぎて秒殺で悩殺!! 音海里奈 قصص سكس محارم مصريه porn724.com واحد بينيك واحدة kashmiri hot girls kings-porno.com videossix hentai stranded island freecartoonporn.info hemtaifox bnha yaoi hentai savehentai.info completely naked at home جسم شويكار esarabe.com سكس كيم xxxbanglavideo hotindianporn.mobi you poron