В своей технической публикации исследователи команды Windows Defender ATP сообщили, что системы снижения рисков и защиты от 0-day эксплойтов, встроенные в Windows 10 версии Anniversary Update, помогли заблокировать атаки, которые пытались эксплуатировать две критические уязвимости, устраненные Редмондом только в ноябре 2016 года.
Первая уязвимость
Первая уязвимость имеет идентификатор CVE-2016-7255 и использовалась группой хакеров Strontium в октябре 2016 года против нескольких целей в США. Киберпреступники использовали вспомогательную уязвимость в Flash Player для получения доступа к целевым системам, а затем пытались получить повышенные привилегии, уже эксплуатируя уязвимость CVE-2016-7255.
Как выяснилось, несмотря на отсутствие патча для данных, пользователи Windows 10 Юбилейное обновление были полностью защищены от эксплойтов благодаря технологиям, интегрированным в операционную систему. В худшем сценарии при попытке компрометации системы наблюдался сбой работы системы с отображением “синего экрана смерти” (BSOD).
Microsoft поясняет: “Чтобы предотвратить атаки на базе эксплойтов Win32k и схожих эксплойтов, команда исследователей Windows Offensive Security Research Team (OSR) представила в Windows 10 Юбилейное обновление защитные техники, которые предотвращают злонамеренное использование tagWND.strName”.
“Реализованная система снижения рисков выполняла дополнительные проверки полей базы и длины, чтобы убедиться, что они находятся в допустимых пределах значений и не используются примитивами чтение-запись. Во время тестирования в Anniversary Update, эксплойты, которые использовали метод создания примитивов чтение-запись в ядре системы оказались неэффективными. Эксплойты вызывали нештатные ситуации и последующее отображение ошибки BSOD”.
Вторая уязвимость
Вторая заблокированная Windows 10 уязвимость имеет идентификатор CVE-2016-7256. Она использовалась для компрометации файлов шрифтов с целью получения повышенных привилегий.
Microsoft сообщает, что первые атаки были зафиксированы в июне 2016 года против нескольких объектов в Южной Корее. Конечной целью атак являлась установка бэкдора Hankray, который позволял злоумышленникам получить полный контроль над системой.
В этом случае эксплойт блокировался с помощью системы виртуализации AppContainer. Вредоносный образец шрифта, который был предназначен для получения повышенных прав, исполнялся не на уровне ядра, а в изолированной песочнице, которая нейтрализует эксплойты.
Microsoft сообщает, что предстоящее Windows 10 Creators Update получит несколько улучшений технологий защиты, которые предназначены для предотвращения эксплуатации уязвимостей нулевого дня.
Последние статьи #Windows
• В Windows 11 появился Store CLI — Microsoft Store теперь доступен из командной строки
• СМИ сообщили о «переписывании Windows на Rust» с помощью ИИ – Microsoft опровергла информацию
• AtlasOS: облегченный мод Windows 11 работает быстрее ряда Linux-дистрибутивов
• Microsoft окончательно отключила активацию Windows и других продуктов по телефону
• Почему виртуальные рабочие столы в Windows 11 удобнее, чем в Linux
• Как включить новое диалоговое окно «Выполнить» (Запустить) в Windows 11