A atualização de aniversário bloqueou automaticamente dois exploits pré-corrigidos

“Ao fornecer essas técnicas de mitigação [exploit], estamos aumentando o custo do desenvolvimento de exploits, forçando os invasores a encontrar maneiras de contornar novas camadas de defesa”, disseram eles. “Mesmo a simples mitigação tática contra primitivos populares de leitura e gravação força os autores do exploit a gastar mais tempo e recursos para encontrar novas rotas de ataque.”

A primeira campanha de ataque começou em junho por “atores não identificados” usando “Hankray” contra alvos localizados na Coreia do Sul. A campanha consistia em ataques de baixo nível e foi seguida por uma segunda campanha em novembro usando Hankray também. Essa segunda onda aproveitou uma falha na biblioteca de fontes do Windows, também conhecida como CVE-2016-7256, que permitia aos hackers elevar os privilégios da conta de um PC e instalar o backdoor Hankray.

“As amostras de fontes encontradas nos computadores afetados foram especificamente manipuladas com endereços e dados codificados para refletir os layouts reais da memória do kernel”, disseram eles no relatório de sexta-feira. “Isso indica a probabilidade de uma ferramenta secundária gerar dinamicamente o código de exploração no momento da infiltração.”

Com o Windows 10 Anniversary Edition, as explorações de fontes são mitigadas pelo AppContainer, impedindo que ocorram no nível do kernel. O AppContainer inclui uma caixa de proteção isolada que impede que explorações obtenham privilégios escalados de um PC. Segundo a dupla, esse espaço murado reduz “significativamente” as chances de usar a análise de fontes como ângulo de ataque.

“A atualização de aniversário do Windows 10 também inclui validação adicional para análise de arquivo de fonte. Em nossos testes, o código de exploração específico para CVE-2016-7256 simplesmente falha nessas verificações e não consegue acessar o código vulnerável”, acrescentaram.

O segundo ataque foi uma campanha de spear phishing em outubro. Lançado pelo grupo de ataque Strontium, o ataque usou um exploit para a vulnerabilidade CVE-2016-7255 junto com a vulnerabilidade CVE-2016-7855 no Adobe Flash Player. O grupo tinha como alvo organizações não governamentais e think tanks nos Estados Unidos. Essencialmente, o grupo usou a falha de segurança baseada em Flash para obter acesso à vulnerabilidade win32k.sys para obter privilégios elevados dos PCs visados.

No entanto, a Atualização de Aniversário inclui técnicas de segurança que protegem contra o exploit Win32k junto com outros exploits. Mais especificamente, a Atualização de Aniversário impede que invasores corrompam a estrutura do kernel tagWND.strName e usem SetWindowsTextW para gravar conteúdo arbitrário na memória do kernel. Essa prevenção é obtida executando verificações adicionais para os campos base e comprimento para verificar se os intervalos de endereço virtual estão corretos e se não são utilizáveis ​​para primitivas de leitura/gravação.

A Microsoft fornece um documento sobre as medidas de segurança adicionadas à atualização de aniversário do Windows 10 em PDF aqui. Como sempre, o Windows Defender é integrado à plataforma Windows como um serviço gratuito, protegendo automaticamente os clientes contra as ameaças mais recentes. A Microsoft também oferece o Serviço de assinatura de Proteção Avançada contra Ameaças do Windows Defender para a empresa, fornecendo uma camada de proteção “pós-violação”.

Recomendações dos editores

• Windows 11 vs. Windows 10: finalmente é hora de atualizar?
• Atualize o Windows agora - a Microsoft corrigiu vários exploits perigosos
• A atualização do Windows 11 2022 pode desacelerar as transferências de arquivos em 40%
• Atualização do Windows 11 2022: os melhores novos recursos para experimentar hoje
• A atualização do Windows 11 2022 é o que deveríamos ter visto desde o início

Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.