В своей технической публикации исследователи команды Windows Defender ATP сообщили, что системы снижения рисков и защиты от 0-day эксплойтов, встроенные в Windows 10 версии Anniversary Update, помогли заблокировать атаки, которые пытались эксплуатировать две критические уязвимости, устраненные Редмондом только в ноябре 2016 года.
Первая уязвимость
Первая уязвимость имеет идентификатор CVE-2016-7255 и использовалась группой хакеров Strontium в октябре 2016 года против нескольких целей в США. Киберпреступники использовали вспомогательную уязвимость в Flash Player для получения доступа к целевым системам, а затем пытались получить повышенные привилегии, уже эксплуатируя уязвимость CVE-2016-7255.
Как выяснилось, несмотря на отсутствие патча для данных, пользователи Windows 10 Юбилейное обновление были полностью защищены от эксплойтов благодаря технологиям, интегрированным в операционную систему. В худшем сценарии при попытке компрометации системы наблюдался сбой работы системы с отображением “синего экрана смерти” (BSOD).
Microsoft поясняет: “Чтобы предотвратить атаки на базе эксплойтов Win32k и схожих эксплойтов, команда исследователей Windows Offensive Security Research Team (OSR) представила в Windows 10 Юбилейное обновление защитные техники, которые предотвращают злонамеренное использование tagWND.strName”.
“Реализованная система снижения рисков выполняла дополнительные проверки полей базы и длины, чтобы убедиться, что они находятся в допустимых пределах значений и не используются примитивами чтение-запись. Во время тестирования в Anniversary Update, эксплойты, которые использовали метод создания примитивов чтение-запись в ядре системы оказались неэффективными. Эксплойты вызывали нештатные ситуации и последующее отображение ошибки BSOD”.
Вторая уязвимость
Вторая заблокированная Windows 10 уязвимость имеет идентификатор CVE-2016-7256. Она использовалась для компрометации файлов шрифтов с целью получения повышенных привилегий.
Microsoft сообщает, что первые атаки были зафиксированы в июне 2016 года против нескольких объектов в Южной Корее. Конечной целью атак являлась установка бэкдора Hankray, который позволял злоумышленникам получить полный контроль над системой.
В этом случае эксплойт блокировался с помощью системы виртуализации AppContainer. Вредоносный образец шрифта, который был предназначен для получения повышенных прав, исполнялся не на уровне ядра, а в изолированной песочнице, которая нейтрализует эксплойты.
Microsoft сообщает, что предстоящее Windows 10 Creators Update получит несколько улучшений технологий защиты, которые предназначены для предотвращения эксплуатации уязвимостей нулевого дня.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5