Приседающая атака

Сквоттинг-атака в информатике — это разновидность DoS-атаки , при которой программа мешает работе другой программы посредством использования общих объектов синхронизации нежелательным или неожиданным образом. ^{[ 1 ]}

Эта атака известна в операционной системе Microsoft Windows , которая предлагает именованные объекты в качестве механизма межпроцессной синхронизации. При использовании именованных объектов процесс может открыть объект синхронизации как общий ресурс, просто указав имя. Последующие процессы могут использовать то же имя для открытия этого ресурса и иметь возможность синхронизации с первым процессом. Атака сквоттинга возможна, поскольку, если законная программа не обеспечивает строгие правила безопасности для ресурсов, процессы из произвольных контекстов безопасности могут получить к ним доступ и в конечном итоге взять под контроль систему. ^{[ 2 ]}

Рассмотрим, например, антивирусное программное обеспечение, установленное на компьютере с Microsoft Windows. Решение состоит из двух частей: ^{[ 3 ]} сервис файловую , который отслеживает и сканирует каждый файл при его открытии, и ручной сканер, который сканирует систему по запросу пользователя. В нормальных условиях служба должна время от времени сканировать систему. Однако если пользователь запрашивает сканирование вручную, служба должна временно остановиться, чтобы позволить ручному сканеру работать, в противном случае каждый файл будет сканироваться дважды: ручным сканером и службой. Чтобы решить эту проблему, поставщик решает реализовать механизм синхронизации на основе событий, при котором служба сохраняет именованное событие открытым и проверяет его при каждом открытии файла. Если событие не установлено, файл сканируется, в противном случае он игнорируется. Затем ручной сканер для работы открывает названное событие, устанавливает его перед сканированием (отключение службы), сканирует файловую систему и по завершении сбрасывает событие обратно. Эта конструкция подвержена атаке на корточках, поскольку вредоносная программа может установить указанное событие и полностью отключить службу.

Примечания

^ Чжан, Цзюньфэн (23 апреля 2006 г.). «Пространство имен частных объектов» . Проверено 15 мая 2007 г.
^ Фаркас, Шон (28 апреля 2005 г.). «Модель отключения безопасности Уидби» . Проверено 15 мая 2007 г.
^ Этот пример служит лишь иллюстрацией. Для правильной работы могут потребоваться дополнительные компоненты, например драйвер .

Ссылки

Руссинович, Марк (12 февраля 2007 г.). «PsExec, контроль учетных записей пользователей и границы безопасности» . Проверено 15 мая 2007 г.
«Имена объектов» . Сеть разработчиков Microsoft . Проверено 15 мая 2007 г.

[1] Чжан, Цзюньфэн (23 апреля 2006 г.). «Пространство имен частных объектов» . Проверено 15 мая 2007 г.

[2] Фаркас, Шон (28 апреля 2005 г.). «Модель отключения безопасности Уидби» . Проверено 15 мая 2007 г.

[3] Этот пример служит лишь иллюстрацией. Для правильной работы могут потребоваться дополнительные компоненты, например драйвер .

[ 1 ]

[ 2 ]

[ 3 ]