¿Cómo asociar un proceso con un depurador puede comprometer la seguridad del sistema?

4

Visual Studio muestra una advertencia al intentar adjuntar a un proceso de usuario diferente:

Buscandounaexplicación,encontré el artículo de MSDN , afirmando que:

  

Un proceso no confiable que contiene código malicioso puede dañar la computadora que realiza la depuración.

Según mi conocimiento, es todo lo contrario: en realidad, puede adjuntar un proceso con un depurador para evitar su comportamiento (presumiblemente malicioso). Suponiendo que ya se está ejecutando un código malicioso en mi sistema, ¿cómo asociarlo con un depurador puede comprometer aún más la seguridad del sistema?

    
pregunta enkryptor 21.06.2016 - 12:54
fuente

2 respuestas

2

Si se desplaza hacia abajo en la página del enlace msdn provisto bajo el encabezado Ver también , hay un enlace a Seguridad del depurador que dice:

  

La capacidad de depurar otro proceso le otorga poderes extremadamente amplios que de otra forma no tendría, especialmente cuando se realiza la depuración de forma remota. Un depurador malicioso podría causar un daño generalizado en la máquina que se está depurando.

     

Sin embargo, muchos desarrolladores no se dan cuenta de que la amenaza a la seguridad también puede fluir en la dirección opuesta. Es posible que el código malicioso en el proceso de depuración ponga en peligro la seguridad de la máquina de depuración: hay una serie de vulnerabilidades de seguridad que deben protegerse.

Seguridad del depurador proporciona las mejores prácticas para varios escenarios de depuración.

Para abordar su pregunta específica ¿cómo asociarse con un depurador a ella puede comprometer aún más la seguridad del sistema? , Seguridad del depurador da un ejemplo de:

  

No depure un proceso desconocido en una máquina remota: hay posibles vulnerabilidades que pueden afectar a la máquina que ejecuta el depurador, o que pueden comprometer a msvsmon.exe, el Monitor de depuración remota de Visual Studio.

    
respondido por el user2320464 21.06.2016 - 20:43
fuente
3

Su nota de que es un "proceso de usuario diferente" es la clave aquí. Si el proceso malicioso está limitado al contexto de ese usuario, al adjuntar un depurador (que generalmente requiere permisos profundos), el proceso tiene acceso a más recursos.

Aunque un depurador podría ser usado para prevenir actividades maliciosas, no hay forma de que el depurador sepa qué es exactamente lo que hará. Simplemente puede ejecutar el proceso hasta su finalización para analizar los registros más adelante.

La advertencia es apropiada, aunque posiblemente haya formas en que no sea necesario. Es mejor tenerlo para recordar a todos los problemas muy reales.

    
respondido por el schroeder 21.06.2016 - 13:00
fuente

Lea otras preguntas en las etiquetas