«Предоставляя эти методы устранения [эксплойтов], мы увеличиваем стоимость разработки эксплойтов, вынуждая злоумышленников находить способы обойти новые уровни защиты», — заявили они. «Даже простое тактическое противодействие популярным примитивам чтения-записи заставляет авторов эксплойтов тратить больше времени и ресурсов на поиск новых путей атаки».
Рекомендуемые видео
Первая атака началась в июне, когда «неустановленные субъекты» использовали «Ханкрай» против целей, расположенных в Южной Корее. Кампания состояла из низкоуровневых атак, за которой в ноябре последовала вторая кампания с использованием Hankray. Эта вторая волна воспользовалась уязвимостью в библиотеке шрифтов Windows, также известной как CVE-2016-7256, которая позволила хакерам повысить привилегии учетной записи ПК и установить бэкдор Hankray.
Связанный
- Лаги в играх? Это обновление Windows 11 может решить проблему
- Не можете получить обновление Windows 11 22H2? Может быть веская причина, почему
- Почему геймерам следует избегать обновления Windows 11 2022
«Образцы шрифтов, найденные на зараженных компьютерах, были специально изменены с помощью жестко закодированных адресов и данных, чтобы отразить фактические схемы памяти ядра», — говорится в пятничном отчете. «Это указывает на вероятность того, что вторичный инструмент динамически генерировал код эксплойта во время заражения».
В Windows 10 Anniversary Edition эксплойты шрифтов смягчаются AppContainer, предотвращая их появление на уровне ядра. AppContainer включает в себя изолированную песочницу, которая не позволяет эксплойтам получить повышенные привилегии ПК. По словам дуэта, это окруженное стеной пространство «значительно» снижает шансы использования синтаксического анализа шрифтов в качестве угла атаки.
«Юбилейное обновление Windows 10 также включает дополнительную проверку для синтаксического анализа файлов шрифтов. В наших тестах конкретный код эксплойта для CVE-2016-7256 просто не проходит эти проверки и не может получить доступ к уязвимому коду», — добавили они.
Второй атакой стала кампания целевого фишинга в октябре. Запущенная группой атаки Strontium атака использовала эксплойт для уязвимости CVE-2016-7255 вместе с уязвимостью CVE-2016-7855 в Adobe Flash Player. Группа нацелена на неправительственные организации и аналитические центры в Соединенных Штатах. По сути, группа использовала брешь в системе безопасности Flash, чтобы получить доступ к уязвимости win32k.sys и получить повышенные привилегии на целевых компьютерах.
Однако Anniversary Update включает методы безопасности, которые защищают от эксплойта Win32k наряду с другими эксплойтами. В частности, Anniversary Update не позволяет злоумышленникам повредить структуру ядра tagWND.strName и использовать SetWindowsTextW для записи произвольного содержимого в память ядра. Это предотвращение достигается за счет выполнения дополнительных проверок полей базы и длины, чтобы убедиться, что диапазоны виртуальных адресов верны и что их нельзя использовать для примитивов чтения-записи.
Microsoft предоставляет документ о дополнительных мерах безопасности, втиснутых в Windows 10 Anniversary Update. в формате PDF здесь. Как всегда, Защитник Windows встроен в платформу Windows как бесплатная служба, автоматически защищающая клиентов от новейших угроз. Майкрософт также предлагает Служба подписки Advanced Threat Protection в Защитнике Windows для предприятия, обеспечивая уровень защиты «после взлома».
Рекомендации редакции
- Windows 11 по сравнению с Windows 10: наконец пришло время обновиться?
- Обновите Windows сейчас — Microsoft только что исправила несколько опасных эксплойтов
- Обновление Windows 11 2022 может замедлить передачу файлов на 40%
- Обновление Windows 11 2022: лучшие новые функции, которые стоит опробовать уже сегодня
- Обновление Windows 11 2022 — это то, что мы должны были увидеть с самого начала
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, проницательным редакционным статьям и единственным в своем роде кратким обзорам.
