Hardware Upgrade Forum - View Single Post - Protezione del Computer: consigli e valutazioni

nV 25 · 24-06-2012, 15:59

io credo che sia necessario ritornare su un passo che ho provato a spiegare non benissimo, questo:
un malware che gira in un account amministrativo non elevato, pur continuando a non avere privilegi di amministratore pieno, può scrivere ad es nel profilo utente (le famose zone condivise...) parti di codice che gli sono necessarie in un 2° momento e aspettare tranquillamente l'elevazione per acquisire i privilegi mancanti.

Ipotesi:
mi loggo come amministratore
l'OS mi assegna di fabbrica privilegi minimi
l'amministratore, di fatto, è dunque un amministratore castrato (o ridotto) e gode praticamente degli stessi privilegi dell'utente standard
l'UAC è al massimo.

Dall'altra parte ho un malware che richiede privilegi elevati per compiere completamente la propria azione.

Ipotizziamo che questi privilegi se li conquisti "con calma", senza fretta.

L'esecuzione del malware, dunque, avviene con privilegi che sono quelli dell'utente amministratore castrato.
Questo, a regola, gli è sufficiente per scrivere alcuni dati in una particolare zona dell'HD, il profilo dell'utente stesso.

Fino a qui, il malware fa pochi danni.

Ora:
poichè molte applicazioni sfruttano elementi che si trovano proprio in quel particolare spazio ("Many applications read settings and load extensions registered in a user’s profile..."), se per qualche motivo un processo chiede legittimamente "più privilegi" e, cosi' facendo, "chiama in causa" un altro processo che pesca i dati che gli sono necessari da questa zona "condivisa e precedentemente alterata" dal malware, il processo (che a questo punto è elevato) "si infetta" e il malware "si riattiva stavolta anch'esso elevato" portando finalmente a termine la propria missione.

+ o - dovrebbe essere cosi'...

24-06-2012, 15:59	#4920
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	io credo che sia necessario ritornare su un passo che ho provato a spiegare non benissimo, questo: un malware che gira in un account amministrativo non elevato, pur continuando a non avere privilegi di amministratore pieno, può scrivere ad es nel profilo utente (le famose zone condivise...) parti di codice che gli sono necessarie in un 2° momento e aspettare tranquillamente l'elevazione per acquisire i privilegi mancanti. Ipotesi: mi loggo come amministratore l'OS mi assegna di fabbrica privilegi minimi l'amministratore, di fatto, è dunque un amministratore castrato (o ridotto) e gode praticamente degli stessi privilegi dell'utente standard l'UAC è al massimo. Dall'altra parte ho un malware che richiede privilegi elevati per compiere completamente la propria azione. Ipotizziamo che questi privilegi se li conquisti "con calma", senza fretta. L'esecuzione del malware, dunque, avviene con privilegi che sono quelli dell'utente amministratore castrato. Questo, a regola, gli è sufficiente per scrivere alcuni dati in una particolare zona dell'HD, il profilo dell'utente stesso. Fino a qui, il malware fa pochi danni. Ora: poichè molte applicazioni sfruttano elementi che si trovano proprio in quel particolare spazio ("Many applications read settings and load extensions registered in a user’s profile..."), se per qualche motivo un processo chiede legittimamente "più privilegi" e, cosi' facendo, "chiama in causa" un altro processo che pesca i dati che gli sono necessari da questa zona "condivisa e precedentemente alterata" dal malware, il processo (che a questo punto è elevato) "si infetta" e il malware "si riattiva stavolta anch'esso elevato" portando finalmente a termine la propria missione. + o - dovrebbe essere cosi'... Ultima modifica di nV 25 : 24-06-2012 alle 18:05.