Az évfordulós frissítés automatikusan blokkolt két előre javított exploitot

hogyan készítsünk képernyőképet számítógépen
Matt Oh és Elia Florio, a Windows Defender ATP kutatócsoportjának munkatársa – mondta pénteken hogy a Windows 10 Anniversary Update nemcsak semlegesítette a nulladik napi rendszermag-kizsákmányolást, amelyet két közelmúltbeli támadási kampány is használt, hanem felfedte, hogyan is használták őket. A kihasználások a CVE-2016-7255 és CVE-2016-7256 biztonsági réseken alapultak, amelyeket novemberben javítottak ki. A meghiúsult támadások csak két példája annak a munkának, amelyet a Microsoft az Anniversary Update-ben végzett annak érdekében, hogy csökkentse a hackerek által a sebezhetőségeken keresztül elérhető támadások számát.

"Ezekkel a [kizsákmányolási] mérséklő technikákkal növeljük a kizsákmányolás fejlesztésének költségeit, arra kényszerítve a támadókat, hogy új védelmi rétegeket keressenek" - mondták. "Még a népszerű írható-olvasható primitívek elleni egyszerű taktikai enyhítés is arra kényszeríti az exploit szerzőit, hogy több időt és erőforrást fordítsanak új támadási útvonalak megtalálására."

Ajánlott videók

Az első támadási kampány júniusban kezdődött, amikor „azonosítatlan szereplők” a „Hankray”-t használták a dél-koreai célpontok ellen. A kampány alacsony szintű támadásokból állt, majd novemberben egy második kampány követte Hankray felhasználásával. Ez a második hullám kihasználta a Windows betűkészlet-könyvtár, más néven CVE-2016-7256 hibáját, amely lehetővé tette a hackerek számára, hogy növeljék a számítógép fiókjogait, és telepítsék a Hankray hátsó ajtót.

Összefüggő

  • Lemarad a játékokban? Ez a Windows 11 frissítés megoldhatja a problémát
  • Nem tudja letölteni a Windows 11 22H2 frissítését? Ennek jó oka lehet
  • Miért érdemes a játékosoknak kerülniük a Windows 11 2022 frissítését?

„Az érintett számítógépeken talált betűtípusmintákat kifejezetten keménykódolt címekkel és adatokkal manipulálták, hogy tükrözzék a tényleges kernelmemória-elrendezést” – áll a pénteki jelentésben. "Ez annak valószínűségét jelzi, hogy egy másodlagos eszköz dinamikusan generálta a kihasználó kódot a beszivárgás időpontjában."

A Windows 10 Anniversary Edition rendszerben a fontok kihasználását az AppContainer mérsékli, megakadályozva, hogy kernel szinten történjenek. Az AppContainer egy izolált sandboxot tartalmaz, amely megakadályozza, hogy a kihasználások a PC-k megnövelt jogosultságaihoz jussanak. A duó szerint ez a befalazott hely „jelentősen” csökkenti annak esélyét, hogy a betűtípus-elemzést támadási szögként használják.

„A Windows 10 Anniversary Update további ellenőrzést is tartalmaz a betűtípus-fájlok elemzéséhez. Tesztjeink során a CVE-2016-7256 speciális kihasználó kódja egyszerűen megbukik ezeken az ellenőrzéseken, és nem tud elérni a sebezhető kódot” – tették hozzá.

A második támadás egy lándzsás adathalász kampány volt októberben. A Strontium támadócsoport által indított támadás a CVE-2016-7255 biztonsági rést, valamint az Adobe Flash Player CVE-2016-7855 biztonsági rését használta fel. A csoport az egyesült államokbeli nem kormányzati szervezeteket és agytrösztöket célozta meg. A csoport lényegében a Flash-alapú biztonsági rést használta, hogy hozzáférjen a win32k.sys sebezhetőségéhez, hogy magasabb jogosultságokat szerezzen a megcélzott számítógépeken.

Az Anniversary Update azonban olyan biztonsági technikákat is tartalmaz, amelyek védelmet nyújtanak a Win32k kizsákmányolása ellen más kizsákmányolásokkal együtt. Pontosabban, az Anniversary Update megakadályozza, hogy a támadók megsértsék a tagWND.strName kernelstruktúrát, és a SetWindowsTextW segítségével tetszőleges tartalmat írjanak a kernelmemóriába. Ezt a megelőzést úgy érik el, hogy további ellenőrzéseket hajtanak végre az alap- és hosszmezőkre vonatkozóan annak ellenőrzésére, hogy a virtuális címtartományok helyesek-e, és nem használhatók-e írás-olvasás primitívekhez.

A Microsoft dokumentumot biztosít a Windows 10 évfordulós frissítésébe betömörülő hozzáadott biztonsági intézkedésekről PDF formátumban itt. Mint mindig, a Windows Defender ingyenes szolgáltatásként beépült a Windows platformba, amely automatikusan megvédi az ügyfeleket a legújabb fenyegetésekkel szemben. A Microsoft is kínálja a Windows Defender Advanced Threat Protection előfizetési szolgáltatás a vállalkozás számára, „sértés utáni” védelmi réteget biztosítva.

Szerkesztői ajánlások

  • Windows 11 vs. Windows 10: végre ideje frissíteni?
  • Frissítse a Windows rendszert most – a Microsoft most kijavított néhány veszélyes kizsákmányolást
  • A Windows 11 2022 frissítése 40%-kal lelassíthatja a fájlátvitelt
  • Windows 11 2022 frissítés: a legjobb új funkciók, amelyeket még ma kipróbálhatsz
  • A Windows 11 2022 frissítés az, amit a kezdetektől látnunk kellett volna

Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.