Как заблокировать автоматическую установку незащищенных приложений Windows Plug-and-Play

22
Vitesco, дочерняя компания Continental, потерпела неудачу при дебюте на рынке

Обнаружен трюк, который предотвращает захват вашего устройства уязвимыми приложениями Windows, когда устройства подключены к вашему компьютеру.

В прошлом месяце исследователи подробно рассказали, как простое подключение устройства к Windows может также установить приложение поставщика, которое позволяет обычным пользователям быстро получать системные привилегии – самый высокий уровень пользовательских привилегий в Windows.

Например, когда пользователи подключают USB-мышь Razer , Windows автоматически устанавливает ее драйвер и программное обеспечение Razer Synapse.

Однако, поскольку Windows начала установку программного обеспечения с использованием процесса с привилегиями SYSTEM, программное обеспечение Razer Synapse также запускалось с привилегиями SYSTEM.

Во время установки Razer Synapse вы можете указать другую папку для установки программы, в результате чего откроется диалоговое окно «Выбрать папку».

Однако, когда это диалоговое окно открыто, можно открыть консоль PowerShell, которая также откроется с правами SYSTEM установщика Razer Synapse.

Для тех, кто не знаком с привилегиями SYSTEM, они являются наивысшими правами пользователя, доступными в Windows, и позволяют выполнять любые команды в операционной системе. 

Используя эти ошибки, пользователи с небольшими привилегиями на устройстве Windows могли легко получить полный контроль над ним, просто подключив USB-мышь за 20 долларов.

Эта уязвимость была обнаружена в приложениях, известных как «соинсталляторы», и с тех пор, как было обнаружено первое, другие исследователи  обнаружили больше устройств,  которые могут допускать локальное повышение привилегий, включая  устройства SteelSeries.

Блокировка приложений соинсталлятора драйверов Windows

Когда разработчики оборудования отправляют драйверы в Microsoft для распространения через Windows, они могут настроить совместные установщики для конкретных устройств,   которые будут запускаться после того, как Windows Plug-and-Play установит драйвер.

Эти совместные установщики можно использовать для настройки ключей реестра для конкретных устройств, загрузки и установки других приложений или выполнения других функций, необходимых для правильной работы устройства.

С помощью функции совместной установки Razer, Synapse и другие производители оборудования могут устанавливать свои утилиты настройки, когда их USB-устройства подключены к компьютеру.

Как  первый обнаружил  на  Уилла Dormann, аналитик уязвимости CERT / CC, можно настроить значение реестра Windows, который блокирует со-инсталляторы могут быть установлены во время функции Plug-и-Play.

Для этого откройте редактор реестра и перейдите к  разделу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Под этим ключом добавьте значение DWORD-32 с именем  DisableCoInstallers  и установите для него значение  1.

После включения Windows заблокирует установку соинсталляторов при подключении связанного USB-устройства к компьютеру.

Важно отметить, что внесение этого изменения заблокирует автоматическую установку программного обеспечения конфигурации устройства. Вместо этого вам нужно будет загрузить и установить его с сайта поставщика вручную.

Однако неудобства стоят дополнительной безопасности, полученной за счет блокировки установки потенциально уязвимых приложений во время процесса Windows Plug-and-Play.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here