В своей технической публикации исследователи команды Windows Defender ATP сообщили, что системы снижения рисков и защиты от 0-day эксплойтов, встроенные в Windows 10 версии Anniversary Update, помогли заблокировать атаки, которые пытались эксплуатировать две критические уязвимости, устраненные Редмондом только в ноябре 2016 года.
Первая уязвимость
Первая уязвимость имеет идентификатор CVE-2016-7255 и использовалась группой хакеров Strontium в октябре 2016 года против нескольких целей в США. Киберпреступники использовали вспомогательную уязвимость в Flash Player для получения доступа к целевым системам, а затем пытались получить повышенные привилегии, уже эксплуатируя уязвимость CVE-2016-7255.
Как выяснилось, несмотря на отсутствие патча для данных, пользователи Windows 10 Юбилейное обновление были полностью защищены от эксплойтов благодаря технологиям, интегрированным в операционную систему. В худшем сценарии при попытке компрометации системы наблюдался сбой работы системы с отображением “синего экрана смерти” (BSOD).
Microsoft поясняет: “Чтобы предотвратить атаки на базе эксплойтов Win32k и схожих эксплойтов, команда исследователей Windows Offensive Security Research Team (OSR) представила в Windows 10 Юбилейное обновление защитные техники, которые предотвращают злонамеренное использование tagWND.strName”.
“Реализованная система снижения рисков выполняла дополнительные проверки полей базы и длины, чтобы убедиться, что они находятся в допустимых пределах значений и не используются примитивами чтение-запись. Во время тестирования в Anniversary Update, эксплойты, которые использовали метод создания примитивов чтение-запись в ядре системы оказались неэффективными. Эксплойты вызывали нештатные ситуации и последующее отображение ошибки BSOD”.
Вторая уязвимость
Вторая заблокированная Windows 10 уязвимость имеет идентификатор CVE-2016-7256. Она использовалась для компрометации файлов шрифтов с целью получения повышенных привилегий.
Microsoft сообщает, что первые атаки были зафиксированы в июне 2016 года против нескольких объектов в Южной Корее. Конечной целью атак являлась установка бэкдора Hankray, который позволял злоумышленникам получить полный контроль над системой.
В этом случае эксплойт блокировался с помощью системы виртуализации AppContainer. Вредоносный образец шрифта, который был предназначен для получения повышенных прав, исполнялся не на уровне ядра, а в изолированной песочнице, которая нейтрализует эксплойты.
Microsoft сообщает, что предстоящее Windows 10 Creators Update получит несколько улучшений технологий защиты, которые предназначены для предотвращения эксплуатации уязвимостей нулевого дня.
Последние статьи #Windows
• Windows 11 Build 26090 (Dev): Что нового, готовые ISO-образы
• Windows 11 Build 26090 (Canary): Версия 24H2 без «водяного знака», готовые ISO-образы
• Microsoft удалит WordPad в Windows 11, версия 24H2. Как его вернуть
• Обновление KB5035942 для Windows 11 активирует функции Moment 5 для всех пользователей
• Intel раскрыла требования Microsoft к компьютерам с ИИ
• Системные администраторы могут ускорить получение обновления для Windows 11, не связанных с безопасностью