Το Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR

Το πρόγραμμα driver MiniFilter των Windows, όπως και το πρόγραμμα Sysmon, μπορεί να καταχραστεί για να αποτραπεί η φόρτωση προγραμμάτων driver EDR.

Δείτε επίσης: CISA: Προσθέτει ευπάθεια Windows στον Κατάλογο KEV

Οι διαδικασίες ανίχνευσης και απόκρισης τελικού σημείου (EDR) είναι δύσκολο να σταματήσουν από τους εισβολείς, ακόμη και με πρόσβαση τοπικού διαχειριστή ή σε επίπεδο συστήματος σε ένα τελικό σημείο, επειδή είναι φτιαγμένες να λειτουργούν αυτόνομα και επίμονα.

Ο Eito Tamura, Κύριος Σύμβουλος της Tier Zero Security, διαπίστωσε ότι ένα πρόγραμμα driver MiniFilter, όπως το πρόγραμμα driver Sysmon, μπορεί να γίνει κατάχρηση για να σταματήσει η φόρτωση προγραμμάτων driver EDR κατά τη δοκιμή του προγράμματος driver Sysmon.

Υπήρχαν Κάποια Στιγμή Δακτύλιοι γύρω από τη Γη;. Ανακαλύψτε την εντυπωσιακή θεωρία που συνδέει τους αρχαίους δακτυλίους και την ιστορία της Γης. Αναλύουμε πώς οι αστεροειδείς μπορεί να είχαν δημιουργήσει δακτύλους που επηρέασαν τον πλανήτη μας και την κοσμική του εξέλιξη.
#Δακτύλοι #Γη #Αστρονομία #Αστεροειδείς #Θεωρίες #Κόσμος #Εξερεύνηση #Ιστορία #ΔιαστημικήΕπιστήμη #Φαινόμενα

0 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkJOaXN6UmJBT3pn

Υπήρχαν Κάποια Στιγμή Δακτύλιοι γύρω από τη Γη;

SecNewsTV 3 hours ago

AI κάμερες θα χρησιμοποιηθούν για περιορισμό των ατυχημάτων. Κάμερες AI, οι οποίες μπορούν να εντοπίσουν τους οδηγούς που στέλνουν μηνύματα κατά την οδήγηση, τοποθετούνται σε έναν δρόμο μετά από αύξηση των σοβαρών ατυχημάτων. Οι κάμερες μπορούν επίσης να εντοπίσουν εάν ένας οδηγός παραβαίνει το όριο ταχύτητας ή δεν φοράει ζώνη ασφαλείας.

00:00 Εισαγωγή
00:21 Δυνατότητες καμερών
00:57 Τρόπος λειτουργίας
01:30 Περίπτωση λάθους

Μάθετε περισσότερα: https://www.secnews.gr/620227/nees-ai-cameres-xrisimopoihthoun-periorismo-atiximaton/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlcwLXRHam1sQmhz

AI κάμερες θα χρησιμοποιηθούν για περιορισμό των ατυχημάτων

SecNewsTV 4 hours ago

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 9 hours ago

Load More... Subscribe

Ο Eito Tamura ισχυρίζεται ότι εμποδίζει το πρόγραμμα driver EDR να εγγραφεί στο Filter Manager εκχωρώντας το ύψος του προγράμματος οδήγησης EDR σε ένα άλλο MiniFilter των Windows που φορτώνεται πριν από το φίλτρο στόχου.

Η Microsoft έχει θέσει σε εφαρμογή ορισμένους μετριασμούς. Εξέδωσε μια προειδοποίηση και η διαδικασία regedit τερματίστηκε ενώ ο ερευνητής προσπάθησε να αλλάξει το altitude του προγράμματος driver Sysmon ώστε να ταιριάζει με το altitude του προγράμματος driver MDE (WdFilter) για να σταματήσει τη φόρτωσή του.

Δείτε ακόμα: Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day

Αφού εμφανίστηκε μια ειδοποίηση στην επιφάνεια εργασίας, η καταχώριση altitude καταργήθηκε. Χωρίς μη αυτόματη επαναφορά του altitude, το Sysmon ουσιαστικά απενεργοποιείται.

Δήλωσε ότι πρόσθετα προγράμματα driver MiniFilter των Windows, συμπεριλαμβανομένων των προεπιλεγμένων προγραμμάτων driver που υπάρχουν ήδη στο σύστημα, όπως το FileInfo, μπορούν να χρησιμοποιηθούν όταν επιχειρείται η ίδια επίθεση για να ελέγξει εάν ένας παρόμοιος αμυντικός μηχανισμός θα ενεργοποιηθεί. Απροσδόκητα, η αλλαγή δεν μπλοκαρίστηκε, προσδιορίζοντας ουσιαστικά το altitude του οδηγού Sysmon ως MDE (328010).

Επιπλέον, το MiniFilter υποστηρίζει το altitude που χρησιμοποιούν τώρα, το οποίο είναι XXXXX.YYYYY, το οποίο αποτελείται από μια τελεία (“.”) ακολουθούμενη από πέντε αριθμούς.

Κάθε φορά που φορτώνεται, η ενότητα YYYYY εκχωρείται δυναμικά και αλλάζει. Με αυτόν τον τρόπο, οι εισβολείς εμποδίζονται να δώσουν σε άλλα προγράμματα driver MiniFilter το ίδιο altitude.

Επιπλέον, εξήγησε πώς να αλλάξετε τις ρυθμίσεις μητρώου για το πρόγραμμα driver Sysmon, έτσι ώστε το Sysmon να φορτώνει νωρίτερα και να σταματήσει με επιτυχία τη φόρτωση του WdFilter των Windows.

Δείτε επίσης: Η Citrix προειδοποιεί για ευπάθειες στο Workspace για Windows

Τα προγράμματα driver είναι βασικοί παράγοντες για την ανάπτυξη και λειτουργία ενός λογισμικού υπολογιστή. Αυτοί οι οδηγοί βοηθούν στο να διασφαλιστεί ότι το λογισμικό λειτουργεί σωστά και αποδοτικά σε διάφορες πλατφόρμες και συσκευές. Η ανάπτυξη ενός οδηγού περιλαμβάνει τη συγγραφή κώδικα που επιτρέπει την επικοινωνία με το υλικό του συστήματος, όπως κάρτες γραφικών, συσκευές ήχου και περιφερειακά. Ως εκ τούτου, οι οδηγοί προγράμματος πρέπει να είναι καλά βελτιστοποιημένοι και δοκιμασμένοι για να ελαχιστοποιούν σφάλματα και καθυστερήσεις στην απόδοση του συστήματος.

Πηγή: cybersecuritynews

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Το Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR

RELATED ARTICLES

Εγγραφή στο Newsletter

FOLLOW US

LIVE NEWS