Нові загрози для безпеки Windows: Recall та BlueHammer
Сфера безпеки програмного забезпечення знову опинилася під прицілом після того, як дослідник Александер Хагена представив інструмент TotalRecall Reloaded. Цей інструмент дозволяє отримати доступ до зашифрованої бази даних функції Windows Recall, виявивши таким чином “бічний вхід”. Паралельно стало відомо про ще одну серйозну проблему: експлойт нульового дня BlueHammer, який протягом двох тижнів залишався у відкритому доступі на платформі GitHub до того, як Microsoft випустила відповідне оновлення.
Еволюція функції Recall: від ризиків до покращень
Два роки тому Microsoft представила нову лінійку комп’ютерів “Copilot+” на базі Windows, оснащених унікальними функціями, що використовують апаратне забезпечення з нейронними процесорами (NPU). Ці NPU призначалися для обробки завдань штучного інтелекту та машинного навчання безпосередньо на пристрої, що теоретично мало підвищити рівень безпеки та конфіденційності даних.
Однією з таких функцій стала Recall – інструмент, який мав запам’ятовувати всі дії користувача на комп’ютері шляхом створення знімків екрана. Це дозволяло користувачам відновлювати інформацію про минулу активність. Однак, перша версія Recall мала суттєві недоліки: вона зберігала знімки екрана та велику базу даних дій користувача у незашифрованих файлах. Це робило дані надзвичайно вразливими для доступу зловмисників, які могли отримати інформацію за тривалий період.
Ці ризики не залишилися непоміченими. Офіс інформаційної безпеки Університету Пенсільванії застерігав, що функція Recall створює значні та неприйнятні виклики для безпеки, законодавства та конфіденційності, і рекомендував адміністраторам вимкнути її.
Після виявлення та детального опису цих вразливостей журналістами та дослідниками безпеки, Microsoft була змушена відкласти розгортання Recall майже на рік та суттєво переробити систему безпеки. Серед ключових змін:
- Дані, що зберігаються локально, тепер шифруються і доступні лише після автентифікації через Windows Hello.
- Функція краще виявляє та виключає конфіденційну інформацію (включаючи фінансові дані) з бази даних.
- Recall тепер вимкнена за замовчуванням.
Незважаючи на значні покращення, функція, яка фіксує переважну більшість дій на комп’ютері, все ще становить певний ризик для безпеки та конфіденційності. Александер Хагена, автор оригінального інструменту “TotalRecall”, який зробив захоплення даних Recall надзвичайно простим, саме його дослідження змусило Microsoft переглянути архітектуру безпеки.
Як зазначає Хагена, “Фундаментальна проблема не в криптографії, анклаві, автентифікації або PPL. Проблема в тому, що розшифрований контент передається незахищеному процесу для рендерингу. Дверцята сейфа зроблені з титану. Стіна поруч — із гіпсокартону”.
Нові вразливості у TotalRecall Reloaded
Оновлена версія інструменту “TotalRecall Reloaded” розкриває додаткові вразливості, на думку Хагени. Він пояснює, що проблема полягає не в безпеці самої бази даних Recall, яку він називає “непробивною”. Складність полягає в тому, що після успішної автентифікації користувача система передає дані Recall іншому системному процесу — AIXHost.exe. Цей процес не має тих самих рівнів захисту, що й основна функція Recall.
Вердикт ІТ-Блогу: Оновлення безпеки є критично важливими для всіх користувачів Windows, особливо тих, хто використовує функцію Recall. Необхідно уважно стежити за повідомленнями від Microsoft щодо виправлень.
Джерело новини: itc.ua