Sysmon xotira oqishining zaifligini tuzatdi
Проблема исправлена в версии утилиты Sysmon 8.0.4.
Sysmon yordamchi dasturida xotira oqishining zaifligi aniqlandi. Ushbu zaiflik kompyuterning xotirasi tugab qolishiga va rejalashtirilgan konfiguratsiya fayli yangilangandan so’ng, rejalashtirilgan vazifa yoki boshqa vositalar orqali ishdan chiqishiga olib kelishi mumkin. Sysmon – bu tizim ma’lumotlarini fonda to’playdigan va uni Windows voqealar jurnaliga yozadigan Microsoft tizim xizmati. Sysmon o’rnatilgandan so’ng, konfiguratsiya fayli yordamchi dasturni ham xizmat, ham drayver sifatida avtomatik ravishda ishga tushirish uchun sozlangan. Ma’lumot to’plash tizim ishga tushgandan so’ng darhol boshlanadi.
Ionstorm taxallusidan foydalangan xavfsizlik tadqiqotchisining so’zlariga ko’ra, Sysmon 8.0.0 va ehtimol 8.0.2 versiyalarini ishga tushiradigan administratorlar yordamchi dasturni xotira oqishining zaifligi uchun allaqachon tuzatilgan 8.0.4 versiyasiga yangilashlari kerak.
«Biz poolmonda xotira oqishi aniqlandi. Bizda konfiguratsiya faylini soatbay yangilaydigan va GitHub’dan XML yuklab oladigan skript mavjud. Har bir qayta ishga tushirilgandan so’ng, sahifalanmagan xotira puli 15 MB ga to’ldi va hokazo har soatda. Oxir-oqibat, 30 kundan keyin hamma narsa ishlashni to’xtatdi», dedi tadqiqotchi Bleeping Computer nashriga.
Microsoft Sysinternals forumidagi postga ko’ra, har bir konfiguratsiya fayli qayta yuklangandan so’ng, Sysmon drayveri (SysmonDrv.sys) allaqachon band bo’lgan qismlarni tozalamasdan, sahifalanmagan xotira pulining yangi qismlarini ajratadi. Bu xotira oqishiga olib keladi.
