Pembaruan Peringatan Secara Otomatis Memblokir Dua Eksploitasi Pra-Patched

“Dengan memberikan teknik mitigasi [eksploitasi] ini, kami meningkatkan biaya pengembangan eksploit, memaksa penyerang untuk menemukan cara di sekitar lapisan pertahanan baru,” kata mereka. “Bahkan mitigasi taktis sederhana terhadap primitif baca-tulis yang populer memaksa penulis eksploit untuk menghabiskan lebih banyak waktu dan sumber daya dalam menemukan rute serangan baru.”

Kampanye serangan pertama dimulai pada bulan Juni oleh “aktor tak dikenal” menggunakan “Hankray” terhadap target yang terletak di Korea Selatan. Kampanye tersebut terdiri dari serangan tingkat rendah dan diikuti dengan kampanye kedua di bulan November menggunakan Hankray juga. Gelombang kedua ini memanfaatkan kelemahan di pustaka font Windows, alias CVE-2016-7256, yang memungkinkan peretas untuk meningkatkan hak akun PC dan memasang backdoor Hankray.

“Sampel font yang ditemukan pada komputer yang terpengaruh secara khusus dimanipulasi dengan alamat dan data yang di-hardcode untuk mencerminkan tata letak memori kernel yang sebenarnya,” kata mereka dalam laporan hari Jumat. “Ini menunjukkan kemungkinan bahwa alat sekunder secara dinamis menghasilkan kode eksploit pada saat infiltrasi.”

Dengan Windows 10 Anniversary Edition, eksploitasi font dimitigasi oleh AppContainer, mencegahnya terjadi di tingkat kernel. AppContainer menyertakan kotak pasir terisolasi yang memblokir eksploit agar tidak mendapatkan hak istimewa yang meningkat dari PC. Menurut keduanya, ruang berdinding ini "secara signifikan" mengurangi kemungkinan penggunaan penguraian font sebagai sudut serangan.

“Pembaruan Ulang Tahun Windows 10 juga menyertakan validasi tambahan untuk parsing file font. Dalam pengujian kami, kode eksploit khusus untuk CVE-2016-7256 gagal dalam pemeriksaan ini dan tidak dapat menjangkau kode yang rentan,” tambah mereka.

Serangan kedua adalah kampanye spear-phishing pada bulan Oktober. Diluncurkan oleh grup serangan Strontium, serangan tersebut menggunakan eksploit untuk kerentanan CVE-2016-7255 bersama dengan kerentanan CVE-2016-7855 di Adobe Flash Player. Kelompok tersebut menargetkan organisasi non-pemerintah dan wadah pemikir di Amerika Serikat. Pada dasarnya, grup tersebut menggunakan lubang keamanan berbasis Flash untuk mendapatkan akses ke kerentanan win32k.sys untuk mendapatkan hak istimewa yang lebih tinggi dari PC yang ditargetkan.

Namun, Pembaruan Peringatan mencakup teknik keamanan yang melindungi dari eksploitasi Win32k bersama dengan eksploitasi lainnya. Lebih khusus lagi, Pembaruan Peringatan mencegah penyerang merusak struktur kernel tagWND.strName dan menggunakan SetWindowsTextW untuk menulis konten arbitrer di memori kernel. Pencegahan ini dicapai dengan melakukan pemeriksaan tambahan untuk bidang dasar dan panjang untuk memverifikasi bahwa rentang alamat virtual sudah benar dan tidak dapat digunakan untuk primitif baca-tulis.

Microsoft menyediakan dokumen tentang langkah-langkah keamanan tambahan yang dimasukkan ke dalam Pembaruan Ulang Tahun Windows 10 sebagai PDF di sini. Seperti biasa, Windows Defender dibangun ke dalam platform Windows sebagai layanan gratis, yang secara otomatis melindungi pelanggan dari ancaman terbaru. Microsoft juga menawarkan Layanan langganan Windows Defender Advanced Threat Protection untuk perusahaan, memberikan lapisan perlindungan "pasca-pelanggaran".

Rekomendasi Editor

• Windows 11 vs. Windows 10: akhirnya saatnya untuk memutakhirkan?
• Perbarui Windows sekarang — Microsoft baru saja memperbaiki beberapa eksploitasi berbahaya
• Pembaruan Windows 11 2022 dapat memperlambat transfer file hingga 40%
• Pembaruan Windows 11 2022: fitur baru terbaik untuk dicoba hari ini
• Pembaruan Windows 11 2022 adalah yang seharusnya kita lihat sejak awal

Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.