20190818

Down the Rabbit-Hole... googleprojectzero 変な常駐物について・Calculator.exe、SystemSetting.exe を常駐しないようにしたい Windows10 Home 64bit です。

Down the Rabbit-Hole...


【外部リンク】
https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html
Down the Rabbit-Hole...
Posted by Tavis Ormandy, Security Research Over-Engineer.
“Sometimes, hacking is just someone spending more time on something than anyone else might reasonably expect.”[1]
I often find it valuable to write simple test cases confirming things work the way I think they do. Sometimes I can’t explain the results, and getting to the bottom of those discrepancies can reveal new research opportunities. This is the story of one of those discrepancies; and the security rabbit-hole it led me down.
It all seemed so clear..
Usually, windows on the same desktop can communicate with each other. They can ask each other to move, resize, close or even send each other input. This can get complicated when you have applications with different privilege levels, for example, if you “Run as administrator”.
It wouldn’t make sense if an unprivileged window could just send commands to a highly privileged window, and that’s what UIPI, User Interface Privilege Isolation, prevents. This isn’t a story about UIPI, but it is how it began.
The code that verifies you’re allowed to communicate with another window is part of win32k!NtUserPostMessage. The logic is simple enough, it checks if the application explicitly allowed the message, or if it’s on a whitelist of harmless messages.


Conclusion
It took a lot of effort and research to reach the point that I could understand enough of CTF to realize it’s broken. These are the kind of hidden attack surfaces where bugs last for years. It turns out it was possible to reach across sessions and violate NT security boundaries for nearly twenty years, and nobody noticed.
Now that there is tooling available, it will be harder for these bugs to hide going forward.


Bonus... can you pop calc in calc?
In Windows 10, Calculator uses AppContainer isolation, just like Microsoft Edge. However the kernel still forces AppContainer processes to join the ctf session.
ctf> scan
Client 0, Tid 2880 (Flags 0x08, Hwnd 00000B40, Pid 3048, explorer.exe)
Client 1, Tid 8560 (Flags 0x0c, Hwnd 00002170, Pid 8492, SearchUI.exe)
Client 2, Tid 11880 (Flags 0x0c, Hwnd 00002E68, Pid 14776, Calculator.exe)
Client 3, Tid 1692 (Flags 0x0c, Hwnd 0000069C, Pid 15000, MicrosoftEdge.exe)
Client 4, Tid 724 (Flags 0x0c, Hwnd 00001C38, Pid 2752, MicrosoftEdgeCP.exe)
This means you can compromise Calculator, and from there compromise any other CTF client.. even non AppContainer clients like explorer.
On Windows 8 and earlier, compromising calc is as simple as any other CTF client.
So yes, you can pop calc in calc 😃


【外部リンク】
https://answers.microsoft.com/ja-jp/windows/forum/all/変な常駐物/fa30b374-18cb-4e43-909c-adbfdff1a2e0
変な常駐物について・Calculator.exe、SystemSetting.exe を常駐しないようにしたい
Windows10 Home 64bit です。

無償アップデートした直後(3月?)頃はなかったのですが、暫くして(5月くらい?)から、起動もしていないのに、Windowsアプリの電卓(Calculator.exe)がタスクに常駐し始め、7月くらいからこちらも立ち上げていないのにSystemSetting.exe(設定)がタスクに常駐するようになりました。

PC起動直後暫くは2つともタスクに存在しておらず、1時間くらいして見てみるとこのような状態で存在してる状態です。(もちろん手動起動していません)

サイズ的にも怪しいので、ウィルスチェックなどをかけてみましたが、検出されません。

また、手動起動して終了やタスクマネージャーからKillすると普通に消えますが、また暫くすると居る状態です。

他のWindows10PCを見ましたがこのようなものは常駐しておらず、この挙動が気持ち悪く感じております。

出来れば、タスクに常駐しないように設定したいのと、もしマイクロソフトの仕様であれば、なぜこのような挙動をするのかが知りたいです。

2つとも、この件に関して確認する時以外は、月に1回触るかどうかくらいなので、高速起動の為の予備常駐としても納得いきません。

その前に、いつの間にか存在するようになったわけなので、すごく不信です。

ちなみに、Anser desk では全く回答が得られず、こちらのコミュニティに誘導されました。

ご助力いただける方、よろしくお願いいたします。

https://answers.microsoft.com/en-us/windows/forum/windows_10-performance-winpc/with-no-reason-3-processes-are-executed/e82ba3ca-3636-4b36-a079-44622cd323ed
with no reason 3 processes are executed !!!
Hello

For some time I see
with no reason 3 processes are executed
I have not run them
And they are not open window
There is no specific time
Sometimes 1 hour after turning on the computer
Sometimes about 6 hours after switching on the computer
But surely run

They are sub-file "svchost.exe"
Respectively :
=== > Microsoft.Photos.exe
=== > SystemSettings.exe
=== > Calculator.exe

Through the program "Sysinternals Process Explorer" realized

My antivirus update is complete
And
The last update of Windows to date March 9, 2016

at the end

Windows Me Has been hacked?
what's the solution ?
please guide me






https://juejin.im/entry/5d5620ff6fb9a06afc253ca4
0x00 前言
我自己经常会编写简单的测试案例,来验证后台处理逻辑与我设想的相符。有时候我无法解释测试结果,会刨根问底,最终挖掘出新的研究方向。

通常情况下,同一个桌面中的窗口之间可以互相通信。这些窗口可以要求对方移动、调整大小、关闭或者甚至向对方发送输入数据。当我们具有不同权限级别的应用程序时(比如通过“Run as administrator”运行程序时),情况会变得更加复杂。
0x08 总结
即便没有bug,CTF协议也可以让应用程序交换输入数据,读取彼此的内容。然而,该协议中的确存在很多bug,可以让攻击者完全控制其他大部分应用。我很好奇微软会如何改进这个协议,如果大家想进一步研究,可以下载我开发的这款工具(ctftool)作为参考。

我花了许多精力才对CTF内部原理有所了解,澄清其脆弱点。这些脆弱点都是隐藏的攻击面,已经有多年历史。事实证明,在20多年的历史中,我们一直可以借助这种方式实施跨会话攻击,打破NT系统的安全边界,并且没有人注意到这一点。

https://www.anquanke.com/post/id/184318
0x01 消息传递问题
正常情况下,低权限窗口不能随便向高权限窗口发送消息,这也是UIPI(User Interface Privilege Isolation,用户界面权限隔离)的职责所在。当然本文并不是想介绍UIPI,但整个研究起点与之有关。

验证我们是否可以与另一个窗口通信的代码位于win32k!NtUserPostMessage中。代码逻辑比较简单,就是检查应用是否明确允许该消息,或者该消息是否在无害消息白名单中。


systemsettings exe と は

windows calculator exe

systemsettings 中断

windows10 このcalculatorを開くには新しいアプリが必要です

windows10 電卓 このアプリを開けません

windows10 電卓 新しいアプリが必要です

windows10 電卓 バック グラウンド

windows10 電卓 勝手 に 起動

windows10 電卓 オフライン インストール

バック グラウンド プロセス 怪しい
down the rabbit-hole バンド

down the rabbit-hole 意味

down the rabbit-hole ホラー

down the rabbit-hole メンバー

down the rabbit hole ワイン

ダウンザラビットホール 意味

down the rabbit-hole 素晴らしき日々
project zero

project zero amazon

project zero ルアー

project zero フリーゲーム

project zero game

project zero 零

project zero ゲーム
rabbit hole ごちうさ

the rabbit hole 福岡

the rabbit hole skyrim
ページの操作
--

注目の投稿

Shadowserver Foundation http://65.49.1.117/

Shadowserver Foundation port 14491 discarded for LINK-FRMWRK: NO ENTRY IN LOOKUP TABLE TO COMPLETE OPERATION, GigaEthernet2.0 Wistron Neweb ...

人気の投稿