В своей технической публикации исследователи команды Windows Defender ATP сообщили, что системы снижения рисков и защиты от 0-day эксплойтов, встроенные в Windows 10 версии Anniversary Update, помогли заблокировать атаки, которые пытались эксплуатировать две критические уязвимости, устраненные Редмондом только в ноябре 2016 года.
Первая уязвимость
Первая уязвимость имеет идентификатор CVE-2016-7255 и использовалась группой хакеров Strontium в октябре 2016 года против нескольких целей в США. Киберпреступники использовали вспомогательную уязвимость в Flash Player для получения доступа к целевым системам, а затем пытались получить повышенные привилегии, уже эксплуатируя уязвимость CVE-2016-7255.
Как выяснилось, несмотря на отсутствие патча для данных, пользователи Windows 10 Юбилейное обновление были полностью защищены от эксплойтов благодаря технологиям, интегрированным в операционную систему. В худшем сценарии при попытке компрометации системы наблюдался сбой работы системы с отображением “синего экрана смерти” (BSOD).
Microsoft поясняет: “Чтобы предотвратить атаки на базе эксплойтов Win32k и схожих эксплойтов, команда исследователей Windows Offensive Security Research Team (OSR) представила в Windows 10 Юбилейное обновление защитные техники, которые предотвращают злонамеренное использование tagWND.strName”.
“Реализованная система снижения рисков выполняла дополнительные проверки полей базы и длины, чтобы убедиться, что они находятся в допустимых пределах значений и не используются примитивами чтение-запись. Во время тестирования в Anniversary Update, эксплойты, которые использовали метод создания примитивов чтение-запись в ядре системы оказались неэффективными. Эксплойты вызывали нештатные ситуации и последующее отображение ошибки BSOD”.
Вторая уязвимость
Вторая заблокированная Windows 10 уязвимость имеет идентификатор CVE-2016-7256. Она использовалась для компрометации файлов шрифтов с целью получения повышенных привилегий.
Microsoft сообщает, что первые атаки были зафиксированы в июне 2016 года против нескольких объектов в Южной Корее. Конечной целью атак являлась установка бэкдора Hankray, который позволял злоумышленникам получить полный контроль над системой.
В этом случае эксплойт блокировался с помощью системы виртуализации AppContainer. Вредоносный образец шрифта, который был предназначен для получения повышенных прав, исполнялся не на уровне ядра, а в изолированной песочнице, которая нейтрализует эксплойты.
Microsoft сообщает, что предстоящее Windows 10 Creators Update получит несколько улучшений технологий защиты, которые предназначены для предотвращения эксплуатации уязвимостей нулевого дня.
Последние статьи #Windows
• Неофициальная версия FlyOOBE для обхода требований Windows 11 может содержать вредоносный код
• Microsoft Edge 142: Улучшенная защита SmartScreen и Scareware Blocker, откат некорректной реализации функции автооткрытия боковой панели
• Windows 11 получила функцию совместного прослушивания аудио через Bluetooth LE Audio — на Copilot+ ПК
• Обновление KB5067115 (Build 26220.7051) для Windows 11, версия 25H2 (Dev) (Beta)
• Игры запускаются в 10 раз быстрее: Microsoft представила Advanced Shader Delivery для ROG Xbox Ally и Ally X
• Windows 11 получает упрощенную систему именования обновлений