http://www.bestfilez.net/news/security/google-project-zero-discovered-a-windows-vulnerability | |
Bestfilez.net - новости мира Hi-tech :: Новости :: Безопасность |
Это, конечно, общая проблема, если какое-либо приложение добавило правила разрешения, которые могут быть достигнуты AC, то они могут быть сопоставлены перед правилом блокировки. Конечно, это, несомненно, сделано специально, но проблема в том, что эти правила есть по умолчанию на всех системах, которые я тестировал, поэтому любая система будет уязвима. Обратите внимание, что это не предоставляет доступ к localhost, так как это не работает на уровне ACCEPT/RECV, который блокирует соединения AppContainer localhost раньше.
Возможно, эти правила по умолчанию не должны соответствовать процессам AC (поэтому добавьте проверку на FWPM_CONDITION_ALE_PACKAGE_ID) или они должны быть упорядочены после правила блокировки AC. Возможно также, что они слишком гибкие, даже ограничение на определенный порт может, по крайней мере, уменьшить поверхность атаки. Я не уверен, есть ли общий способ решения этой проблемы, но поскольку процесс AC не может перечислить текущие правила (AFAIK), то процесс AC никогда не узнает, были ли добавлены правила не по умолчанию, которыми можно злоупотребить.