Исследователь безопасности нашел метод обхода защиты функции Windows Recall

Когда Microsoft впервые анонсировала ИИ-функцию Windows Recall, которая непрерывно делает скриншоты большинства действий пользователя, эксперты сразу назвали её «катастрофой» для кибербезопасности и «кошмаром для конфиденциальности». Из-за крайне негативных отзывов компания отложила релиз функции на год, чтобы полностью переработать систему безопасности. Но, похоже, полностью

устранить проблемы с безопасностью так и не удалось. Напомним, что в новой версии Windows Recall была сделана ставка на максимальную надёжность. Все собранные данные поместили в зашифрованную среду VBS Enclave, доступ к которой открывается только после проверки через Windows Hello. Microsoft

заявляла, что такой подход не позволит вредоносному ПО незаметно украсть информацию в фоновом режиме. Но эксперт по кибербезопасности Александр Хагена доказал обратное. Он выпустил утилиту TotalRecall Reloaded, которая обходит новые преграды, используя доверие самой системы. Утилита не пытается взломать хранилище, а просто работает в фоне и может ожидать, когда пользователь самостоятельно запустит Recall и авторизуется с помощью Windows Hello. Как только ничего не подозревающий

пользователь подтверждает личность, TotalRecall Reloaded мгновенно выкачивает всю собранную историю: тексты, переписки, документы и пароли. Немного о реализации. TotalRecall Reloaded внедряет свою DLL-библиотеку внутрь процесса AIXHost.exe, поскольку он не имеет какой-либо защиты. Windows не блокирует это действие, поскольку считает это нормальным поведением для процессов одного пользователя. Когда пользователь открыл Recall, утилита получает доступ к данным. Заодно утилита

подменяет функцию «DiscardDataAccess», которая призвана закрывать доступ к данным после того, как пользователь вышел из Recall. В результате VBS Enclave продолжает считать, что сеанс активен, что позволяет утилите беспрепятственно получать данные из хранилища. В прошлом месяце Александр Хагена добросовестно сообщил в Microsoft о найденной проблеме, однако специалисты закрыли запрос, не признав это язвимостью. Корпоративный вице-президент по безопасности в

Microsoft Дэвид Уэстон в заявлении для The Verge сообщил, что компания провела тщательное расследование и определила, что система работает так, как задумано. По его словам, встроенные механизмы защиты и тайм-ауты не позволят злоумышленникам

злоупотреблять запросами. Microsoft также считает, что описанный метод — стандартная особенность работы процессов в Windows, которая иногда может использоваться во вред. В свою очередь Александр Хагена заявил, что защитные тайм-ауты легко обходятся программным путем, а его утилита способна даже без биометрии вытащить последний сохраненный в кэше скриншот или полностью удалять всю

историю записей. Он признаёт, что вредоносное ПО может делать скриншоты и без использования Recall, но главная проблема в том, что функция хранит слишком много важной информации. Он также признаёт определённые успехи Microsoft. По его словам, криптография, VBS Enclave и система аутентификации работают отлично и выдерживают тысячи атак. Проблема в

том, что для вывода информации пользователю расшифрованная информация отправляется системой в совершенной незащищённый процесс. Описывая безопасность Recall, исследователь подобрал идеальную метафору: «Дверь в их хранилище сделана из титана. Но стена вокруг неё — из гипсокартона».

Сообщает thecommunity.ru

 

Новость из рубрики: Интернет

 

Поделиться новостью:

 

Топ Новости Недели

• Матрасы из кокосового волокна представляют собой удачное сочетание природных материалов, долговечности и ортопедических свойств...
• Выбор автомобильных колес — это комплексный процесс, требующий учета множества параметров...
• Онлайн-фінансові сервіси, що пропонують швидке оформлення позик без додаткових дзвінків і складних перевірок, стають зручним інструментом для вирішення тимчасових фінансових потреб...
• Кухни и мебель на заказ представляют собой оптимальное решение для создания комфортного и продуманного интерьера...
• Подготовка к тестам в системе дистанционного обучения требует комплексного подхода, включающего изучение теории, практическую работу и развитие аналитических навыков...
• Сигнализатор горючих газов многоканальный взрывозащищённый стационарный — это важный элемент системы промышленной безопасности...
• Викет-пакеты для хлеба — это современное и эффективное решение, которое сочетает в себе удобство, надежность и соответствие требованиям пищевой промышленности...
• Юридический адрес — это не просто формальность, а важный элемент функционирования компании...
• Нарколог на дом — это современное и удобное решение, позволяющее получить квалифицированную помощь без лишних сложностей...
• Круглосуточная анонимная помощь в устранении запоя — это не просто временная мера, а важный шаг к возвращению к нормальной жизни...
• Запойное состояние представляет собой серьезное испытание для организма, при котором человек длительное время не может прекратить употребление алкоголя...
• Частная психиатрическая клиника в Новороссийске предоставляет возможность получить квалифицированную помощь без ожидания и бюрократических сложностей...
• Организация грузовых перевозок в Норильск представляет собой сложную задачу, обусловленную географическими и климатическими особенностями региона...
• Почему слив базы Семяныч остаётся мифом: разбор фактов без эмоций...