"Ved å levere disse [utnyttelse] avbøtende teknikkene øker vi kostnadene for utnyttelsesutvikling, og tvinger angripere til å finne måter rundt nye forsvarslag," sa de. "Selv den enkle taktiske avbøtningen mot populære lese-skrive-primitiver tvinger utnyttelsesforfatterne til å bruke mer tid og ressurser på å finne nye angrepsruter."
Anbefalte videoer
Den første angrepskampanjen startet i juni av «uidentifiserte aktører» som brukte «Hankray» mot mål lokalisert i Sør-Korea. Kampanjen besto av angrep på lavt nivå og ble fulgt opp av en andre kampanje i november med Hankray også. Denne andre bølgen utnyttet en feil i Windows-skriftbiblioteket, aka CVE-2016-7256, som gjorde det mulig for hackere å heve en PCs kontorettigheter og installere Hankray-bakdøren.
I slekt
- Henger i spill? Denne Windows 11-oppdateringen kan løse problemet
- Får du ikke Windows 11 22H2-oppdateringen? Det kan være en god grunn
- Hvorfor spillere bør unngå Windows 11 2022-oppdateringen
"Skriftprøvene funnet på berørte datamaskiner ble spesifikt manipulert med hardkodede adresser og data for å gjenspeile faktiske kjerneminneoppsett," sa de i fredagens rapport. "Dette indikerer sannsynligheten for at et sekundært verktøy dynamisk genererte utnyttelseskoden på infiltrasjonstidspunktet."
Med Windows 10 Anniversary Edition reduseres fontutnyttelse av AppContainer, og forhindrer dem i å finne sted på kjernenivå. AppContainer inkluderer en isolert sandkasse som blokkerer utnyttelser fra å få eskalerte privilegier til en PC. I følge duoen reduserer denne innmurte plassen "betraktelig" sjansene for å bruke fontparsing som en angrepsvinkel.
"Windows 10 Anniversary Update inkluderer også ekstra validering for fontfilparsing. I testene våre mislykkes den spesifikke utnyttelseskoden for CVE-2016-7256 disse sjekkene og klarer ikke å nå sårbar kode,» la de til.
Det andre angrepet var en spyd-phishing-kampanje i oktober. Angrepet ble lansert av Strontium-angrepsgruppen og brukte en utnyttelse for CVE-2016-7255-sårbarheten sammen med CVE-2016-7855-sårbarheten i Adobe Flash Player. Gruppen målrettet ikke-statlige organisasjoner og tenketanker i USA. I hovedsak brukte gruppen det Flash-baserte sikkerhetshullet for å få tilgang til win32k.sys-sårbarheten for å få økte rettigheter til de målrettede PC-ene.
Anniversary Update inkluderer imidlertid sikkerhetsteknikker som forsvarer seg mot Win32k-utnyttelsen sammen med andre utnyttelser. Mer spesifikt forhindrer jubileumsoppdatering angripere fra å ødelegge tagWND.strName-kjernestrukturen og bruke SetWindowsTextW til å skrive vilkårlig innhold i kjerneminnet. Denne forebyggingen oppnås ved å utføre ytterligere kontroller for grunn- og lengdefeltene for å bekrefte at de virtuelle adresseområdene er korrekte og at de ikke er brukbare for lese-skrive-primitiver.
Microsoft gir et dokument om de ekstra sikkerhetstiltakene som stappes inn i Windows 10 Anniversary Update som PDF her. Som alltid er Windows Defender innebygd i Windows-plattformen som en gratis tjeneste, som automatisk beskytter kunder mot de siste truslene. Microsoft tilbyr også Windows Defender Advanced Threat Protection abonnementstjeneste for bedriften, og gir et "etter-brudd"-lag med beskyttelse.
Redaktørenes anbefalinger
- Windows 11 vs. Windows 10: endelig på tide å oppgradere?
- Oppdater Windows nå - Microsoft har nettopp fikset flere farlige utnyttelser
- Windows 11 2022-oppdateringen kan redusere filoverføringer med 40 %
- Windows 11 2022-oppdatering: de beste nye funksjonene å prøve ut i dag
- Windows 11 2022-oppdateringen er det vi burde ha sett fra starten
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
