Актуализацията за годишнината автоматично блокира два предварително подправени експлойта

„Чрез предоставянето на тези [експлойт] техники за смекчаване, ние увеличаваме разходите за разработване на експлойт, принуждавайки нападателите да намерят начини да заобиколят нови защитни слоеве“, казаха те. „Дори простото тактическо смекчаване срещу популярните примитиви за четене и запис принуждава авторите на експлойта да отделят повече време и ресурси за намиране на нови маршрути за атака.“

Първата кампания за атака започна през юни от „неидентифицирани актьори“, използващи „Hankray“ срещу цели, разположени в Южна Корея. Кампанията се състоеше от атаки на ниско ниво и беше последвана от втора кампания през ноември, използваща също Hankray. Тази втора вълна се възползва от пропуск в библиотеката с шрифтове на Windows, известен още като CVE-2016-7256, който позволи на хакерите да повишат привилегиите на акаунта на компютъра и да инсталират задната врата на Hankray.

„Пробите на шрифтове, открити на засегнатите компютри, бяха специално манипулирани с твърдо кодирани адреси и данни, за да отразят действителните оформления на паметта на ядрото“, казаха те в доклада от петък. „Това показва вероятността вторичен инструмент да е генерирал динамично експлойт кода по време на проникването.“

С Windows 10 Anniversary Edition експлойтите на шрифтове се смекчават от AppContainer, предотвратявайки тяхното възникване на ниво ядро. AppContainer включва изолирана пясъчна среда, която блокира експлойтите да получат ескалирани привилегии на компютър. Според дуото, това заградено пространство „значително“ намалява шансовете за използване на анализ на шрифтове като ъгъл на атака.

„Актуализацията за юбилея на Windows 10 също включва допълнителна проверка за анализ на файлове с шрифтове. В нашите тестове специфичният експлойт код за CVE-2016-7256 просто не успява да премине тези проверки и не може да достигне до уязвимия код“, добавиха те.

Втората атака беше кампания за фишинг през октомври. Стартирана от групата за атака Strontium, атаката използва експлойт за уязвимостта CVE-2016-7255 заедно с уязвимостта CVE-2016-7855 в Adobe Flash Player. Групата е насочена към неправителствени организации и мозъчни тръстове в Съединените щати. По същество групата използва дупката в сигурността, базирана на Flash, за да получи достъп до уязвимостта win32k.sys, за да получи повишени привилегии на целевите компютри.

Актуализацията на Anniversary обаче включва техники за сигурност, които защитават срещу експлойта Win32k заедно с други експлойти. По-конкретно, Anniversary Update не позволява на атакуващите да повредят структурата на ядрото tagWND.strName и да използват SetWindowsTextW за запис на произволно съдържание в паметта на ядрото. Това предотвратяване се постига чрез извършване на допълнителни проверки за полетата за база и дължина, за да се провери дали обхватите на виртуалните адреси са правилни и че не могат да се използват за примитиви за четене и запис.

Microsoft предоставя документ за добавените мерки за сигурност, натъпкани в Windows 10 Anniversary Update като PDF тук. Както винаги, Windows Defender е вграден в платформата на Windows като безплатна услуга, автоматично защитаваща клиентите срещу най-новите заплахи. Microsoft също предлага Абонаментна услуга за разширена защита от заплахи на Windows Defender за предприятието, осигурявайки слой на защита „след нарушение“.

Препоръки на редакторите

• Windows 11 срещу. Windows 10: Най-накрая е време за надграждане?
• Актуализирайте Windows сега — Microsoft току-що поправи няколко опасни експлойта
• Актуализацията на Windows 11 2022 може да забави прехвърлянето на файлове с 40%
• Актуализация на Windows 11 2022: най-добрите нови функции, които да изпробвате днес
• Актуализацията на Windows 11 2022 е това, което трябваше да видим от самото начало

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.