Windows 10 блокирует эксплойты для 0-day уязвимостей даже без патчей

2017-01-17 | Автор | комментарии
По заявлениям Microsoft, Windows 10 версии Юбилейное обновление справилась с защитой пользователей от двух критических уязвимостей нулевого дня даже без официальных патчей

В своей технической публикации исследователи команды Windows Defender ATP сообщили, что системы снижения рисков и защиты от 0-day эксплойтов, встроенные в Windows 10 версии Anniversary Update, помогли заблокировать атаки, которые пытались эксплуатировать две критические уязвимости, устраненные Редмондом только в ноябре 2016 года.

Windows 10 блокирует эксплойты для 0-day уязвимостей даже без патчей

Первая уязвимость

Первая уязвимость имеет идентификатор CVE-2016-7255 и использовалась группой хакеров Strontium в октябре 2016 года против нескольких целей в США. Киберпреступники использовали вспомогательную уязвимость в Flash Player для получения доступа к целевым системам, а затем пытались получить повышенные привилегии, уже эксплуатируя уязвимость CVE-2016-7255.

Как выяснилось, несмотря на отсутствие патча для данных, пользователи Windows 10 Юбилейное обновление были полностью защищены от эксплойтов благодаря технологиям, интегрированным в операционную систему. В худшем сценарии при попытке компрометации системы наблюдался сбой работы системы с отображением “синего экрана смерти” (BSOD).

Microsoft поясняет: “Чтобы предотвратить атаки на базе эксплойтов Win32k и схожих эксплойтов, команда исследователей Windows Offensive Security Research Team (OSR) представила в Windows 10 Юбилейное обновление защитные техники, которые предотвращают злонамеренное использование tagWND.strName”.

“Реализованная система снижения рисков выполняла дополнительные проверки полей базы и длины, чтобы убедиться, что они находятся в допустимых пределах значений и не используются примитивами чтение-запись. Во время тестирования в Anniversary Update, эксплойты, которые использовали метод создания примитивов чтение-запись в ядре системы оказались неэффективными. Эксплойты вызывали нештатные ситуации и последующее отображение ошибки BSOD”.

Вторая уязвимость

Вторая заблокированная Windows 10 уязвимость имеет идентификатор CVE-2016-7256. Она использовалась для компрометации файлов шрифтов с целью получения повышенных привилегий.

Microsoft сообщает, что первые атаки были зафиксированы в июне 2016 года против нескольких объектов в Южной Корее. Конечной целью атак являлась установка бэкдора Hankray, который позволял злоумышленникам получить полный контроль над системой.

В этом случае эксплойт блокировался с помощью системы виртуализации AppContainer. Вредоносный образец шрифта, который был предназначен для получения повышенных прав, исполнялся не на уровне ядра, а в изолированной песочнице, которая нейтрализует эксплойты.

Microsoft сообщает, что предстоящее Windows 10 Creators Update получит несколько улучшений технологий защиты, которые предназначены для предотвращения эксплуатации уязвимостей нулевого дня.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества