ΑρχικήSecurityΤο Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR

Το Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR

Το πρόγραμμα driver MiniFilter των Windows, όπως και το πρόγραμμα Sysmon, μπορεί να καταχραστεί για να αποτραπεί η φόρτωση προγραμμάτων driver EDR.

Δείτε επίσης: CISA: Προσθέτει ευπάθεια Windows στον Κατάλογο KEV

Windows MiniFilter

Οι διαδικασίες ανίχνευσης και απόκρισης τελικού σημείου (EDR) είναι δύσκολο να σταματήσουν από τους εισβολείς, ακόμη και με πρόσβαση τοπικού διαχειριστή ή σε επίπεδο συστήματος σε ένα τελικό σημείο, επειδή είναι φτιαγμένες να λειτουργούν αυτόνομα και επίμονα.

Ο Eito Tamura, Κύριος Σύμβουλος της Tier Zero Security, διαπίστωσε ότι ένα πρόγραμμα driver MiniFilter, όπως το πρόγραμμα driver Sysmon, μπορεί να γίνει κατάχρηση για να σταματήσει η φόρτωση προγραμμάτων driver EDR κατά τη δοκιμή του προγράμματος driver Sysmon.

#secnews #europaclipper #europa 

Η NASA εκτόξευσε τον διαστημικό ανιχνευτή Europa Clipper, στα πλαίσια μιας αποστολής για τον εντοπισμό σημαδιών εξωγήινης ζωής σε ένα από τα παγωμένα φεγγάρια του Δία, την Ευρώπη.

Το Europa Clipper θα διανύσει 1,8 δισεκατομμύρια μίλια για να φτάσει στο φεγγάρι Ευρώπη. Αναμένεται να φτάσει γύρω στο 2030, αλλά οι επιστήμονες πιστεύουν ότι η αναμονή αξίζει τον κόπο, αφού μπορεί να ανακαλύψει πράγματα που μπορεί να αλλάξουν όσα γνωρίζουμε για τη ζωή στο ηλιακό μας σύστημα.

Μάθετε περισσότερα: https://www.secnews.gr/625020/nasa-ektokseuse-europa-clipper-anixneusi-zois-feggari-europi/

00:00 Εισαγωγή
00:21 Εκτόξευση και ταξίδι έως το φεγγάρι
00:55 Υποθέσεις για την Ευρώπη
01:41 Προηγούμενες αποστολές
02:17 Europa Clipper εξερεύνηση φεγγαριού

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #europaclipper #europa

Η NASA εκτόξευσε τον διαστημικό ανιχνευτή Europa Clipper, στα πλαίσια μιας αποστολής για τον εντοπισμό σημαδιών εξωγήινης ζωής σε ένα από τα παγωμένα φεγγάρια του Δία, την Ευρώπη.

Το Europa Clipper θα διανύσει 1,8 δισεκατομμύρια μίλια για να φτάσει στο φεγγάρι Ευρώπη. Αναμένεται να φτάσει γύρω στο 2030, αλλά οι επιστήμονες πιστεύουν ότι η αναμονή αξίζει τον κόπο, αφού μπορεί να ανακαλύψει πράγματα που μπορεί να αλλάξουν όσα γνωρίζουμε για τη ζωή στο ηλιακό μας σύστημα.

Μάθετε περισσότερα: https://www.secnews.gr/625020/nasa-ektokseuse-europa-clipper-anixneusi-zois-feggari-europi/

00:00 Εισαγωγή
00:21 Εκτόξευση και ταξίδι έως το φεγγάρι
00:55 Υποθέσεις για την Ευρώπη
01:41 Προηγούμενες αποστολές
02:17 Europa Clipper εξερεύνηση φεγγαριού

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmlpV0lOdVNUY01F

Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!

SecNewsTV 17 hours ago

Ο Eito Tamura ισχυρίζεται ότι εμποδίζει το πρόγραμμα driver EDR να εγγραφεί στο Filter Manager εκχωρώντας το ύψος του προγράμματος οδήγησης EDR σε ένα άλλο MiniFilter των Windows που φορτώνεται πριν από το φίλτρο στόχου.

Η Microsoft έχει θέσει σε εφαρμογή ορισμένους μετριασμούς. Εξέδωσε μια προειδοποίηση και η διαδικασία regedit τερματίστηκε ενώ ο ερευνητής προσπάθησε να αλλάξει το altitude του προγράμματος driver Sysmon ώστε να ταιριάζει με το altitude του προγράμματος driver MDE (WdFilter) για να σταματήσει τη φόρτωσή του.

Δείτε ακόμα: Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day

Αφού εμφανίστηκε μια ειδοποίηση στην επιφάνεια εργασίας, η καταχώριση altitude καταργήθηκε. Χωρίς μη αυτόματη επαναφορά του altitude, το Sysmon ουσιαστικά απενεργοποιείται.

Δήλωσε ότι πρόσθετα προγράμματα driver MiniFilter των Windows, συμπεριλαμβανομένων των προεπιλεγμένων προγραμμάτων driver που υπάρχουν ήδη στο σύστημα, όπως το FileInfo, μπορούν να χρησιμοποιηθούν όταν επιχειρείται η ίδια επίθεση για να ελέγξει εάν ένας παρόμοιος αμυντικός μηχανισμός θα ενεργοποιηθεί. Απροσδόκητα, η αλλαγή δεν μπλοκαρίστηκε, προσδιορίζοντας ουσιαστικά το altitude του οδηγού Sysmon ως MDE (328010).

Επιπλέον, το MiniFilter υποστηρίζει το altitude που χρησιμοποιούν τώρα, το οποίο είναι XXXXX.YYYYY, το οποίο αποτελείται από μια τελεία (“.”) ακολουθούμενη από πέντε αριθμούς.

Κάθε φορά που φορτώνεται, η ενότητα YYYYY εκχωρείται δυναμικά και αλλάζει. Με αυτόν τον τρόπο, οι εισβολείς εμποδίζονται να δώσουν σε άλλα προγράμματα driver MiniFilter το ίδιο altitude.

Επιπλέον, εξήγησε πώς να αλλάξετε τις ρυθμίσεις μητρώου για το πρόγραμμα driver Sysmon, έτσι ώστε το Sysmon να φορτώνει νωρίτερα και να σταματήσει με επιτυχία τη φόρτωση του WdFilter των Windows.

Δείτε επίσης: Η Citrix προειδοποιεί για ευπάθειες στο Workspace για Windows

Τα προγράμματα driver είναι βασικοί παράγοντες για την ανάπτυξη και λειτουργία ενός λογισμικού υπολογιστή. Αυτοί οι οδηγοί βοηθούν στο να διασφαλιστεί ότι το λογισμικό λειτουργεί σωστά και αποδοτικά σε διάφορες πλατφόρμες και συσκευές. Η ανάπτυξη ενός οδηγού περιλαμβάνει τη συγγραφή κώδικα που επιτρέπει την επικοινωνία με το υλικό του συστήματος, όπως κάρτες γραφικών, συσκευές ήχου και περιφερειακά. Ως εκ τούτου, οι οδηγοί προγράμματος πρέπει να είναι καλά βελτιστοποιημένοι και δοκιμασμένοι για να ελαχιστοποιούν σφάλματα και καθυστερήσεις στην απόδοση του συστήματος.

Πηγή: cybersecuritynews

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS