"En fournissant ces techniques d'atténuation [d'exploit], nous augmentons le coût du développement d'exploit, forçant les attaquants à trouver des moyens de contourner de nouvelles couches de défense", ont-ils déclaré. "Même la simple atténuation tactique contre les primitives de lecture-écriture populaires oblige les auteurs d'exploits à consacrer plus de temps et de ressources à la recherche de nouvelles voies d'attaque."
Vidéos recommandées
La première campagne d'attaques a commencé en juin par des "acteurs non identifiés" utilisant "Hankray" contre des cibles situées en Corée du Sud. La campagne consistait en des attaques de bas niveau et a été suivie d'une deuxième campagne en novembre utilisant également Hankray. Cette deuxième vague a profité d'une faille dans la bibliothèque de polices Windows, alias CVE-2016-7256, qui a permis aux pirates d'élever les privilèges du compte d'un PC et d'installer la porte dérobée Hankray.
En rapport
- A la traîne dans les jeux? Cette mise à jour de Windows 11 pourrait résoudre le problème
- Vous ne pouvez pas obtenir la mise à jour Windows 11 22H2? Il pourrait y avoir une bonne raison pour laquelle
- Pourquoi les joueurs devraient éviter la mise à jour Windows 11 2022
"Les échantillons de polices trouvés sur les ordinateurs concernés ont été spécifiquement manipulés avec des adresses et des données codées en dur pour refléter les dispositions réelles de la mémoire du noyau", ont-ils déclaré dans le rapport de vendredi. "Cela indique la probabilité qu'un outil secondaire ait généré dynamiquement le code d'exploitation au moment de l'infiltration."
Avec Windows 10 Anniversary Edition, les exploits de polices sont atténués par AppContainer, les empêchant de se produire au niveau du noyau. AppContainer inclut un bac à sable isolé qui empêche les exploits d'obtenir des privilèges élevés d'un PC. Selon le duo, cet espace clos réduit « considérablement » les chances d'utiliser l'analyse des polices comme angle d'attaque.
"La mise à jour anniversaire de Windows 10 inclut également une validation supplémentaire pour l'analyse des fichiers de police. Lors de nos tests, le code d'exploitation spécifique pour CVE-2016-7256 échoue simplement à ces vérifications et est incapable d'atteindre le code vulnérable », ont-ils ajouté.
La deuxième attaque était une campagne de harponnage en octobre. Lancée par le groupe d'attaque Strontium, l'attaque a utilisé un exploit pour la vulnérabilité CVE-2016-7255 ainsi que la vulnérabilité CVE-2016-7855 dans Adobe Flash Player. Le groupe ciblait des organisations non gouvernementales et des groupes de réflexion aux États-Unis. Essentiellement, le groupe a utilisé la faille de sécurité basée sur Flash pour accéder à la vulnérabilité win32k.sys afin d'obtenir des privilèges élevés sur les PC ciblés.
Cependant, Anniversary Update inclut des techniques de sécurité qui se défendent contre l'exploit Win32k ainsi que d'autres exploits. Plus précisément, Anniversary Update empêche les attaquants de corrompre la structure du noyau tagWND.strName et d'utiliser SetWindowsTextW pour écrire du contenu arbitraire dans la mémoire du noyau. Cette prévention est obtenue en effectuant des vérifications supplémentaires des champs de base et de longueur pour vérifier que les plages d'adresses virtuelles sont correctes et qu'elles ne sont pas utilisables pour les primitives de lecture-écriture.
Microsoft fournit un document sur les mesures de sécurité supplémentaires intégrées à la mise à jour anniversaire de Windows 10 en PDF ici. Comme toujours, Windows Defender est intégré à la plate-forme Windows en tant que service gratuit, protégeant automatiquement les clients contre les dernières menaces. Microsoft propose également la Service d'abonnement à la protection avancée contre les menaces Windows Defender pour l'entreprise, offrant une couche de protection « post-violation ».
Recommandations des éditeurs
- Windows 11 contre Windows 10: il est enfin temps de mettre à jour?
- Mettez à jour Windows maintenant - Microsoft vient de corriger plusieurs exploits dangereux
- La mise à jour Windows 11 2022 pourrait ralentir les transferts de fichiers de 40 %
- Mise à jour Windows 11 2022: les meilleures nouveautés à tester dès aujourd'hui
- La mise à jour Windows 11 2022 est ce que nous aurions dû voir dès le début
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
