Sigurnosna rupa u sustavu Windows pruža svakome pristup računalu bez prijave u korisnički račun

Sigurnosna rupa u sustavu Windows pruža svakome pristup računalu bez prijave u korisnički račun
Sigurnosna rupa u sustavu Windows pruža svakome pristup računalu bez prijave u korisnički račun

Video: Sigurnosna rupa u sustavu Windows pruža svakome pristup računalu bez prijave u korisnički račun

Video: Sigurnosna rupa u sustavu Windows pruža svakome pristup računalu bez prijave u korisnički račun
Video: Поиск и устранение всех ошибок Windows. Как исправить ошибку? - YouTube 2024, Svibanj
Anonim

Svaki tjedan korisnici su predstavljeni s novim sigurnosnim biltenima za Windows 7, podsjećajući na napade putem interneta, preuzete zlonamjerne programe i mnoge druge napade koje korisnici koriste za pristup nekom računalu. Ono što se rijetko govori i ne manje važno, fizički su napadi s kojima se korisnik mora suočiti kada netko pokušava napasti svoje računalo.

Uzmite na primjer - imate računalo na poslu i jedno kod kuće, a ponekad je potrebno ponijeti svoj posao kod kuće i imati vrlo važne datoteke pohranjene na vašem kućnom računalu ili zaista ne želite da netko pristupi vašem računalu. Prosječni korisnik ima jednu liniju obrane kako bi se ljudi mogli prijaviti na vaše računalo i raditi ono što hoće vašim datotekama te postavlja korisničku lozinku. Napredniji korisnici znaju druge metode kao što su postavljanje lozinke putem BIOS-a, ali se suočavaju s tim, većina korisnika nema pojma da to možete učiniti.

Prije dva tjedna napisao sam program koji korisniku omogućuje zamjenu Jednostavnost pristupa gumbu za prijavu, To je značilo kao sredstvo pružanja korisnicima više fleksibilnosti, jer neki korisnici ne koriste gumb Jednostavnost pristupa.

Prilikom postavljanja ove prijave sam naišao na nešto čisto slučajno. Mala izmjena koda za moju aplikaciju, a ne samo da bi korisnik mogao zamijeniti gumb za jednostavni pristup, ali korisnik bi to mogao koristiti kao sredstvo pristupa nečijem računalu putem zaslona za prijavu. Svatko morao je zamijeniti gumb Ease of Access (Pristup jednostavnom pristupu) s određeni ugrađeni izvorni Windows alat“!

To bi moglo potencijalno dopustiti korisniku da zaobiđe sve korisničke lozinke i dopusti korisniku da priloži bljesak voziti … i ukloni sve s računala koje žele. Ne samo da bi to omogućilo korisniku uklanjanje datoteka, već bi korisnik mogao izbrisati, mijenjati ili premjestiti bilo koju datoteku na računalu koja bitno uništava operacijski sustav, u kojem slučaju trebate ponovno instalirati.

Sljedeći su screenshotovi moje modificirane aplikacije na poslu:

Test korisnički račun, zaštićen lozinkom.

Image
Image

Umetnut mi je palac. Pokazuje da nema datoteka na disku.

Image
Image

Pregledom Testnog računa odaberite i kopirajte tri datoteke koje sam stvorio za testiranje.

Image
Image

Kopirao se na palubu.

Image
Image

Prijavio se, prikazujući datoteke koje sam kopirao na palubu.

Ja sam bio u kontaktu s Microsoftom putem nekoliko e-poruka koji su objasnili problem, također sam dostavio Microsoftu potpune pojedinosti i kod koji sam koristio, a do sada odgovor nije bio vrlo pozitivan, jer izgleda da je određeni zaposlenik s kojim sam razgovarao ne vjeruje da je ovo problem. Još uvijek čekam na njihov sljedeći odgovor kako bismo vidjeli koje korake Microsoft može poduzeti kako bi to otklonio i nadamo se da će ozbiljno uzeti problem.
Ja sam bio u kontaktu s Microsoftom putem nekoliko e-poruka koji su objasnili problem, također sam dostavio Microsoftu potpune pojedinosti i kod koji sam koristio, a do sada odgovor nije bio vrlo pozitivan, jer izgleda da je određeni zaposlenik s kojim sam razgovarao ne vjeruje da je ovo problem. Još uvijek čekam na njihov sljedeći odgovor kako bismo vidjeli koje korake Microsoft može poduzeti kako bi to otklonio i nadamo se da će ozbiljno uzeti problem.

Ovo je predstavnik predstavnika tvrtke Microsoft:

There are a couple of behaviors that make this an issue that we would not consider a security vulnerability from my understanding of your report.

  1. To run a different executable as admin, the file to be changed has to be changed by an admin. The changed utility may then be available to even standard users at logon, but the change must be done by an admin user.
  2. Physical access to the system is necessary in order to carry out this behavior. There are many malicious things a user can do with physical access to a system and while we do publish best practices for physical security of computing resources, we cannot protect against physical access in it entirety.

Microsoft je priložio sljedeću vezu, navodeći da je problem na ovom popisu rangiran (2) # 3 i (1) # 6: 10 Nepromjenjivi zakoni sigurnosti

Što predstavnik tvrtke Microsoft nije razumio, korisnik ne mora biti administrator za pokretanje koda. Može ga voditi svatko tko ima dovoljno znanja.

Moja točka za Microsoft je jednostavna. Zamjena gumba za jednostavni pristup ne smije biti tako jednostavna. Trebao bi poduzeti bolje korake kako bi se osiguralo da se nešto kritično ne može mijenjati jer je temeljni element zaslona za prijavu. Ako to ne mogu osigurati, trebali bi postojati opcija, da se ovaj gumb ne prikaže.

Ako drugi to smatraju ozbiljnim problemom, kao što vjerujem, molimo kontaktirajte sigurnost (at) microsoft (dot) com i glas vaše zabrinutosti.

Vezane objave:

  • Microsoft Surface Diagnostic Toolkit pomaže vam da pokrenete hardversku dijagnostiku
  • Windows Password Recovery: Obnova izgubljene, zaboravljene lozinke za sustav Windows
  • Kako promijeniti pozadinu korisničkog sučelja za prijavu u sustavu Windows 7
  • Besplatni testni alati za mjerenje performansi web preglednika
  • Najbolji besplatni upravitelji lozinki za Windows 10/8/7

Preporučeni:

Kako izbrisati korisnički račun u sustavu Windows 7, 8 ili 10

Kako izbrisati korisnički račun u sustavu Windows 7, 8 ili 10

Ako imate više korisničkih računa na Windows računalu koje vam više nije potrebno, možda je vrijeme da ih očistite. Danas ćemo pogledati kako izbrisati korisnički račun u sustavu Windows.

Zašto svaki korisnik na vašem računalu treba imati svoj korisnički račun

Zašto svaki korisnik na vašem računalu treba imati svoj korisnički račun

Višestruki korisnički računi bili su nekoć nepraktični za korištenje na sustavu Windows, ali više nisu. Ako više ljudi koristi vaše računalo - posebno djecu ili goste - svakoj osobi trebate dati zasebni korisnički račun.

Kako promijeniti korisnički račun u sustavu Windows 10 Ubuntu Bash Shell

Kako promijeniti korisnički račun u sustavu Windows 10 Ubuntu Bash Shell

Kada prvi put instalirate Ubuntu ili drugu Linux distribuciju na Windows 10, od vas će se tražiti da stvorite UNIX korisničko ime i zaporku. Bash se automatski prijavljuje na taj korisnički račun kada pokrenete ljusku, ali možete promijeniti one vjerodajnice ako vam je potrebna.

Nova sigurnosna rupa pronađena u Wi-Fi usmjerivačima: Onemogućite UPnP da zaštitite sebe

Nova sigurnosna rupa pronađena u Wi-Fi usmjerivačima: Onemogućite UPnP da zaštitite sebe

Postoji oko 81 milijuna jedinstvenih IP adresa koje izlažu UPnP funkcionalnost s interneta, a više od 6900 različitih uređaja su potencijalno ranjive, barem, da budu srušene izvana. To znači, teoretski, da bi vaš usmjerivač mogao završiti hakiranjem da proslijedi luke iz vanjskog svijeta, što vas ostavlja otvorenim za više sjeckanja.

MBR Sigurnosna kopija: Sigurnosna kopija, Vraćanje glavnog zapisa za podizanje sustava u sustavu Windows

MBR Sigurnosna kopija: Sigurnosna kopija, Vraćanje glavnog zapisa za podizanje sustava u sustavu Windows

MBR Backup vam pomaže stvoriti sigurnosnu kopiju vašeg Master Boot Record u Windowsima 10/8/7. Ako je morate vratiti, znate da ćete imati važeću kopiju dostupnu.