Friday, October 6th, 2006...12:02 am

Windows Defender a klucz Run – co warto wiedzieć

Jump to Comments

Jeden z kolegów z zaprzyjaźnionej firmy zajmującej się bezpieczeństwem systemów informatycznych podesłał mi niedawno link do dokumentu, opisującego prosty eksperyment związany z bezpieczeństwem systemu Windows Vista (Beta2). Eksperyment polegał na próbie zainstalowania w systemie prostego programu, który symulował zachowania bota internetowego, podejmując następujące działania:

  • instalowaÅ‚ siÄ™ w systemie, zapisujÄ… swojÄ… kopiÄ™ na dysku,
  • wpisywaÅ‚ odpowiedniÄ… wartość w kluczu rejestru użytkownika, tak aby automatycznie uruchamiać siÄ™ gdy użytkownik bÄ™dzie siÄ™ logowaÅ‚
  • Å‚Ä…czyÅ‚ siÄ™ do zewnÄ™trznego serwera IRC i nasÅ‚uchiwaÅ‚ poleceÅ„.

Dodatkowo program ten imitowaÅ‚ wyglÄ…dem element Security Center znanego z systemów Windows XP i Vista. Wyniki eksperymentu można znaleźć w raporcie (PDF), trzeba przyznać że wyglÄ…dajÄ… niepokojÄ…co – wszystkie akcje udaÅ‚o sie wykonać w systemie bez żadnego komunikatu lub ostrzeżenia. BÅ‚Ä…d ?? Dziura w bezpieczeÅ„stwie ?? PostanowiÅ‚em trochÄ™ podrążyć temat poprzez sprawdzenie jak to dziaÅ‚a w rzeczywistoÅ›ci i podpytanie w dostÄ™pnych mi źródÅ‚ach dlaczego tak jest.

Po pierwsze jednak przeanalizujmy co zostało wykonane w ramach tego testu. W zasadzie żadna z wykonanych w teście czynności nie wymagała uprawnień wyższych niż uprawniernia zwykłego użytkownika. W celu ich wykonania, użytkownik musi uruchomić dostarczony mu (jak?? e-mail, www) program, który:

  • zapisuje plik na dysku w folderze, do którego użytkownik ma dostÄ™p na podstawie uprawnieÅ„ NTFS,
  • zapisuje wpis w rejestrze, w gaÅ‚Ä™zi do której użytkownik ma peÅ‚ny dostÄ™p,
  • uruchamia program, który w żaden sposób nie modyfikuje elementów, które nie sÄ… dla użytkownika dostÄ™pne. Program ten Å‚Ä…czy sie do usÅ‚ugi, która jest jednÄ… ze standardowych usÅ‚ug internetowych (coż, czasami wykorzystywana też w innym celu).

Vista posiada kilka różnych mechanizmów obronnych \ zabezpieczających, z czego w tym przypadku moglibyśmy spodziewać sie reakcji przynajmniej od strony dwóch elementów:

  • User Account Control (UAC): nowy element systemu, nadzorujÄ…cy dziaÅ‚ania użytkownika i ostrzegajÄ…cy\wymagajÄ…cy interakcji w przypadku dziaÅ‚aÅ„ majÄ…cych wpÅ‚ywn na dziaÅ‚anie \ integralność systemu.
  • Windows Defender: oprogramowanie anty spyware domyÅ›lnie zainstalowane w systemie Vista, dostÄ™pne również dla Windows XP.

Czy UAC powinieÅ„ zareagować na te zdarzenia? Jeżeli zastanowimy sie nad tym przez chwile to niekoniecznie – rolÄ… UAC jest zapewnieni integralnoÅ›ci systemu, nie zaÅ› ochrona przed wirusami. Ostrzega on nas wiÄ™c przed dziaÅ‚aniami, które wymagajÄ… podniesionych uprawnieÅ„, ponieważ mogÄ… wpÅ‚ynąć na dziaÅ‚anie systemu lub dotykajÄ… jego elementów. Można wiÄ™c dyskutować nad tym czy UAC strzeże tego czego powinien, i czy powinieÅ„ też pilnować zmian w rejestrze – w zasadzie jednak użytkownik nie wykonaÅ‚ w caÅ‚ym tym teÅ›cie żadnego dziaÅ‚ania wymagajÄ…cego uprawnieÅ„ administratora.

Pozostaje więc Windows Defender. Tutaj przyznaję się miałem większą zagwozdkę, ale dzięki dyskusji z odpowiednimi ludźmi udało mi się ją wyjaśnić. Jedyny niepokojący element, który powinien wywołać ewentualną rekację Defendera w tym przypadku, to zapis do klucza:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

wartość zawierającej ścieżkę uruchomienia programu, który jest potencjalnie niebezpieczny. Test taki możemy łatwo przeprowadzić sami, używając narzędzia reg.exe do dodania wpisu w tej gałęzi. Wygląda to mniej więcej tak:

C:\>reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Data /t REG__SZ /d aaaa.exe

The operation completed successfully.

Żadnej reakcji ze strony Defendera. Dlaczego? Okazuje się że domyślnie w ustawieniach Windows Defender wyłączona jest opcja powiadomienia o zdarzeniach dotyczących plików \ działań, które nie zostały sklasyfikowane jako niebezpieczne w definicjach Defendera.

Aby jÄ… uaktywnić należy w Windows Defender użyć opcji Tools -> Options, a nastÄ™pnie w sekcji “Choose if Windows Defender should notify You about” zaznaczyć pole wyboru “Software that has not been yet clasified for risk“.

Po włączeniu tej opcji, próba wykonania powyższej operacji powoduje rekację ze strony Defendera.

Warto wspomnieć tutaj jeszcze o jednej rzeczy która wpÅ‚ywa na zachowanie Defendera – jeżeli w sposób opisany powyżej dodany zostanie do rejestru klucz wskazujÄ…cy plik EXE podpisany cyfrowo w sposób poprawny Defender nie wyÅ›wietli ostrzeżenia. Ostrzeżenia nie bÄ™dzie również w przypadku, gdy wskazany plik nie istnieje – jeżeli plik ten pojawi siÄ™ jednak we wskazanej lokalizacji, takie ostrzeżenie zostanie pokazane przy nastÄ™pnym skanowaniu systemu.

Moja pierwsza niepokojÄ…ca myÅ›l byÅ‚a – a co z wywoÅ‚aniami podpisanych plików, które mogÄ… wywoÅ‚ywać inne pliki, już mniej bezpieczne – w szczególnoÅ›ci myÅ›laÅ‚em tutaj o rundll32.exe. Okazuje siÄ™ jednak że Windows Defender dziaÅ‚a tutaj inteligentnie, i sprawdza również pliki które wywoÅ‚ywane sÄ… przez rundll32.exe w razie potrzeby podnoszÄ…c odpowiedni alarm.

Jak widać okazaÅ‚o siÄ™ to tylko kwestiÄ… konfiguracji, jedyne na co można narzekać to że opcja ta nie jest wÅ‚Ä…czona domyÅ›lnie – z drugiej strony przy jej domyÅ›lnym wÅ‚Ä…czeniu pewnie otrzymywalibyÅ›my wiele różnych komunikatów od Windows Defender.

Warto wiÄ™c wiedzieć że opcja ta istnieje i ewentualnie jÄ… Å›wiadomie wÅ‚Ä…czyć. Poinformowaniu o tym fakcie wÅ‚aÅ›nie miaÅ‚ sÅ‚użyć ten artykuÅ‚ … mam nadziejÄ™ że nie za dÅ‚ugi (trochÄ™ sie rozpisaÅ‚em).

1 Comment

Leave a Reply