Rocznicowa aktualizacja automatycznie zablokowała dwa wstępnie załatane exploity

jak zrobić zrzut ekranu na komputerze
Matt Oh i Elia Florio z zespołu badawczego Windows Defender ATP powiedział w piątek że rocznicowa aktualizacja systemu Windows 10 nie tylko zneutralizowała luki w jądrze zero-day wykorzystane w dwóch ostatnich kampaniach ataków, ale także ujawniła sposób ich wykorzystania. Exploity bazowały na lukach CVE-2016-7255 i CVE-2016-7256, które zostały załatane w listopadzie. Udaremnione exploity to tylko dwa przykłady pracy, jaką Microsoft włożył w Anniversary Update, aby zmniejszyć liczbę ataków, które hakerzy mogą wykorzystać przez luki w zabezpieczeniach.

„Dostarczając te techniki łagodzenia [exploitów], zwiększamy koszty rozwoju exploitów, zmuszając atakujących do znalezienia sposobów na obejście nowych warstw obrony” – powiedzieli. „Nawet prosta taktyczna ochrona przed popularnymi prymitywami odczytu i zapisu zmusza autorów exploitów do poświęcenia większej ilości czasu i zasobów na znalezienie nowych dróg ataku”.

Polecane filmy

Pierwsza kampania ataków rozpoczęła się w czerwcu przez „niezidentyfikowanych aktorów” wykorzystujących „Hankray” przeciwko celom zlokalizowanym w Korei Południowej. Kampania składała się z ataków niskiego poziomu, po której nastąpiła druga kampania w listopadzie, w której również wykorzystano Hankray. Ta druga fala wykorzystała lukę w bibliotece czcionek systemu Windows, znaną również jako CVE-2016-7256, która umożliwiła hakerom podniesienie uprawnień konta komputera i zainstalowanie backdoora Hankray.

Powiązany

  • Opóźnienia w grach? Ta aktualizacja systemu Windows 11 może rozwiązać problem
  • Nie możesz pobrać aktualizacji Windows 11 22H2? Może istnieć dobry powód
  • Dlaczego gracze powinni unikać aktualizacji Windows 11 2022

„Próbki czcionek znalezione na komputerach, których dotyczy problem, zostały specjalnie zmanipulowane za pomocą zakodowanych na stałe adresów i danych, aby odzwierciedlić rzeczywisty układ pamięci jądra” – napisali w piątkowym raporcie. „Wskazuje to na prawdopodobieństwo, że dodatkowe narzędzie dynamicznie wygenerowało kod exploita w momencie infiltracji”.

W systemie Windows 10 Anniversary Edition exploity związane z czcionkami są łagodzone przez AppContainer, zapobiegając ich występowaniu na poziomie jądra. AppContainer zawiera izolowaną piaskownicę, która blokuje exploitom uzyskanie eskalowanych uprawnień na komputerze. Według duetu ta otoczona murem przestrzeń „znacząco” zmniejsza szanse na wykorzystanie analizy czcionek jako kąta ataku.

„Aktualizacja Windows 10 Anniversary Update zawiera również dodatkową weryfikację parsowania plików czcionek. W naszych testach konkretny kod exploita dla CVE-2016-7256 po prostu nie przechodzi tych kontroli i nie jest w stanie dotrzeć do podatnego na ataki kodu” – dodali.

Drugim atakiem była kampania spear-phishing przeprowadzona w październiku. Rozpoczęty przez grupę atakującą Strontium atak wykorzystywał exploit wykorzystujący lukę CVE-2016-7255 wraz z luką CVE-2016-7855 w programie Adobe Flash Player. Celem grupy były organizacje pozarządowe i think tanki w Stanach Zjednoczonych. Zasadniczo grupa wykorzystała lukę w zabezpieczeniach Flasha, aby uzyskać dostęp do luki win32k.sys w celu uzyskania podwyższonych uprawnień atakowanych komputerów.

Jednak Anniversary Update zawiera techniki bezpieczeństwa, które chronią przed exploitem Win32k wraz z innymi exploitami. Mówiąc dokładniej, Anniversary Update uniemożliwia atakującym uszkodzenie struktury jądra tagWND.strName i użycie SetWindowsTextW do zapisania dowolnej zawartości w pamięci jądra. Zapobieganie to polega na wykonywaniu dodatkowych kontroli pól podstawy i długości w celu sprawdzenia, czy zakresy adresów wirtualnych są poprawne i czy nie nadają się do operacji podstawowych odczytu i zapisu.

Firma Microsoft udostępnia dokument o dodanych środkach bezpieczeństwa wprowadzanych do rocznicowej aktualizacji systemu Windows 10 jako plik PDF tutaj. Jak zawsze, Windows Defender jest wbudowany w platformę Windows jako bezpłatna usługa, automatycznie chroniąc klientów przed najnowszymi zagrożeniami. Microsoft oferuje również tzw Subskrypcja usługi Windows Defender Advanced Threat Protection dla przedsiębiorstwa, zapewniając warstwę ochrony „po naruszeniu”.

Zalecenia redaktorów

  • Windows 11 vs. Windows 10: wreszcie czas na aktualizację?
  • Zaktualizuj system Windows teraz — Microsoft właśnie naprawił kilka niebezpiecznych exploitów
  • Aktualizacja systemu Windows 11 2022 może spowolnić przesyłanie plików o 40%
  • Aktualizacja systemu Windows 11 2022: najlepsze nowe funkcje do wypróbowania już dziś
  • Aktualizacja systemu Windows 11 2022 jest tym, co powinniśmy byli zobaczyć od samego początku

Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.