Rengeteg PowerShell script ártalmas, ezért a hamarosan bekövetkező nagy Windows frissítés komoly biztonsági kérdéseket vet fel.
Hirdetés
 

A Microsoft PowerShellje az ártalmas kódok mennyországa lesz, állítja a Symantec. Az IT-biztonsággal foglalkozó vállalat döbbenetes méretű növekedést mért az ebben a közegben létező malware-ek tekintetében.

Erő a Héjban

Átlagfelhasználóként nem is találkozik a monitor előtt ülő mással a Windows használatakor, csak az ilyen-olyan grafikus felületekkel. Jobb felső sarokban levő X-szel bezárja a futó alkalmazást, programokat indítani az Asztalról vagy a Start Menüből szokott, és így tovább. Pedig a redmondi operációs rendszer nem csak grafikus kezelőfelületen keresztül működtethető, hanem parancssoros üzemmódban is.

Egy egyszerű IP-cím pingelést (vagy hálózati beállítások lekérdezését és így tovább) nagyon egyszerűen le lehet futtatni a Command Shellen keresztül, a kicsit tapasztaltabb felhasználók zömének nem is volt szüksége többre. A Microsoft azonban nemrég úgy döntött, hogy száműzi ezt a funkciót, és helyette a szinte napra pontosan tíz éve létező PowerShell veszi át a helyét. Annyira komolyan gondolta ezt a szoftverfejlesztő vállalat, hogy amikor a Creators Edition – azaz a Windows 10 következő nagy frissítése – megjelenik 2017-ben, akkor a funkcióbővítésekkel párhuzamosan ezt a váltást is lezavarja.

Egyrészről nem lesz akkora a váltás, hiszen, mint írtuk, már egy évtizede elérhető az újabb Windows-okban, akár most, ezen sorok olvasásakor is elő tudja csalni az olvasó a Start billentyű és a „PowerShell” szó begépelésével. Másrészről azonban komoly biztonsági kockázatot hordoz ez a váltás, a Symantec szerint az online bűnözők már ugrásra készen várják a cserét.

Intő jelek

Már 2014-ben arról írtunk, hogy a Symantec és a Trend Micro víruskutatói felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban szerepet kap a PowerShell parancssori környezet. A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. Akkori tanácsunk ma fokozottan érvényes: a PowerShell-t (és bármilyen más parancsfájlt is) csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.

Tavaly aztán kiderült, hogy felpörgött a PowerShell malware-ek terjedése. Mivel a hagyományos támadások sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell, hiszen kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát; így többek között a ransomware kártevők is hatékony segítséget kaptak.

A Symantec nemrég elvégzett sandbox tesztje szerint pedig az általa vizsgált scriptek szinte mindegyike – egészen pontosan 95,4 százalékuk – ártalmasnak bizonyult. Ez komoly fenyegetést jelent a vállalatokra, ezért a sárga-fekete vállalat azt javasolja a rendszergazdáknak, hogy mindig frissítsék a PowerShellt a legújabb változatra, és engedélyezzék a kiterjesztett naplózást (logolást) és megfigyelést (monitoring). A rendszerek többségén ugyanis ezek alapértelmezettként ki vannak kapcsolva.

Rusnya kis dögök

A Symantec közlése szerint számos ártalmas feladatra felhasználó a PowerShell. Például a Trojan.Kotver anélkül tudja megfertőzni a Registry-t, hogy ahhoz bármilyen állományt használna. De scriptekkel eltávolíthatók a rendszer védő biztonsági termékek, észlelhetők az elemzésükre létrehozott virtuális homokozó környezetek, vagy akár jelszavak után is lehet kutakodni. A legjobb tehát megelőzni, hogy bejussanak a rendszerbe.

Biztonság

A Microsoft tudja, hogy mit gépelünk? Persze, de tehetünk ellene

A fél net ezen a több éves történeten pörög. Úgy látszik, van a személyes adatok védelmének olyan területe, amire érzékenyebbek vagyunk.
 
A vállalatoknál telepített szoftverek közel harmada feleslegesen kerül fel a számítógépekre vagy kihasználatlan, ami szükségtelen költségeket és extra kockázatot jelent egy gyártói auditnál.

a melléklet támogatója a SoftwareONE

Hirdetés

Költséghatékony és kockázatmentes SAP licencelés – IGEN, LÉTEZIK!

Nem szükségszerű, hogy felesleges energiát égessen a szoftveraudittal kapcsolatos felkészülésre, hogy extra munkával terhelje kollégáit ahelyett, hogy az értékes üzleti folyamatokkal foglalkozzanak.

Hirdetés
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az IPR-Insights idén is megkérdezte a vállalatokat a tapasztalataikról. A válaszadók többsége több auditra készül, de magabiztosabban várja az auditort. Fábián László (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.