»Z zagotavljanjem teh [izkoriščajočih] tehnik za ublažitev zvišujemo stroške razvoja izkoriščanja in silimo napadalce, da najdejo načine za izogibanje novim obrambnim slojem,« so povedali. "Tudi preprosta taktična ublažitev priljubljenih primitivov za branje in pisanje prisili avtorje izkoriščanja, da porabijo več časa in sredstev za iskanje novih poti napada."
Priporočeni videoposnetki
Prvo kampanjo napada so junija začeli "neidentificirani akterji" z uporabo "Hankraja" proti tarčam v Južni Koreji. Kampanja je bila sestavljena iz napadov na nizki ravni, novembra pa ji je sledila druga kampanja, ki je prav tako uporabljala Hankray. Ta drugi val je izkoristil napako v knjižnici pisav Windows, imenovano CVE-2016-7256, ki je hekerjem omogočila dvig privilegijev računa osebnega računalnika in namestitev backdoorja Hankray.
Povezano
- Zaostajate v igrah? Ta posodobitev sistema Windows 11 bo morda odpravila težavo
- Ne morete dobiti posodobitve za Windows 11 22H2? Lahko obstaja dober razlog, zakaj
- Zakaj bi se igralci morali izogibati posodobitvi za Windows 11 2022
"Vzorci pisave, najdeni na prizadetih računalnikih, so bili posebej manipulirani s trdo kodiranimi naslovi in podatki, da odražajo dejanske postavitve pomnilnika jedra," so zapisali v petkovem poročilu. "To kaže na verjetnost, da je sekundarno orodje dinamično ustvarilo kodo izkoriščanja v času infiltracije."
Z Windows 10 Anniversary Edition izkoriščanje pisave ublaži AppContainer in preprečuje, da bi se zgodila na ravni jedra. AppContainer vključuje izoliran peskovnik, ki blokira izkoriščanja, da bi pridobili povečane privilegije osebnega računalnika. Po besedah dvojice ta obzidan prostor "znatno" zmanjša možnosti uporabe razčlenjevanja pisave kot napadnega kota.
»Windows 10 Anniversary Update vključuje tudi dodatno preverjanje veljavnosti za razčlenjevanje datoteke pisave. V naših testih posebna koda izkoriščanja za CVE-2016-7256 preprosto ne prestane teh preverjanj in ne more doseči ranljive kode,« so dodali.
Drugi napad je bila kampanja lažnega predstavljanja oktobra. Napad, ki ga je sprožila napadalna skupina Strontium, je uporabil izkoriščanje za ranljivost CVE-2016-7255 skupaj z ranljivostjo CVE-2016-7855 v predvajalniku Adobe Flash Player. Cilj skupine so bile nevladne organizacije in možganski trusti v ZDA. V bistvu je skupina uporabila varnostno luknjo, ki temelji na Flashu, da bi pridobila dostop do ranljivosti win32k.sys in pridobila povišane privilegije ciljnih osebnih računalnikov.
Vendar Anniversary Update vključuje varnostne tehnike, ki ščitijo pred izkoriščanjem Win32k skupaj z drugimi izkoriščanji. Natančneje, Anniversary Update napadalcem preprečuje, da bi poškodovali strukturo jedra tagWND.strName in uporabili SetWindowsTextW za pisanje poljubne vsebine v pomnilnik jedra. To preprečitev dosežemo z izvajanjem dodatnih preverjanj za polja osnove in dolžine, da preverimo, ali so obsegi navideznih naslovov pravilni in da niso uporabni za primitive za branje in pisanje.
Microsoft ponuja dokument o dodanih varnostnih ukrepih, ki so stlačeni v Windows 10 Anniversary Update kot PDF tukaj. Kot vedno je Windows Defender vgrajen v platformo Windows kot brezplačna storitev, ki stranke samodejno ščiti pred najnovejšimi grožnjami. Microsoft ponuja tudi Naročniška storitev Windows Defender Advanced Threat Protection za podjetje, ki zagotavlja sloj zaščite "po kršitvi".
Priporočila urednikov
- Windows 11 vs. Windows 10: končno je čas za nadgradnjo?
- Posodobite Windows zdaj — Microsoft je pravkar odpravil več nevarnih izkoriščanj
- Posodobitev Windows 11 2022 bi lahko upočasnila prenos datotek za 40 %
- Posodobitev za Windows 11 2022: najboljše nove funkcije, ki jih lahko preizkusite še danes
- Posodobitev za Windows 11 2022 je tisto, kar bi morali videti že od začetka
Nadgradite svoj življenjski slogDigitalni trendi pomagajo bralcem slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
