"Genom att leverera dessa [utnyttjande] begränsningstekniker ökar vi kostnaderna för exploateringsutveckling, vilket tvingar angripare att hitta vägar runt nya försvarslager," sa de. "Till och med den enkla taktiska begränsningen mot populära läs-skriv-primitiver tvingar exploateringsförfattarna att lägga mer tid och resurser på att hitta nya attackvägar."
Rekommenderade videor
Den första attackkampanjen började i juni av "oidentifierade aktörer" som använde "Hankray" mot mål i Sydkorea. Kampanjen bestod av attacker på låg nivå och följdes upp av en andra kampanj i november med Hankray också. Denna andra våg utnyttjade ett fel i Windows teckensnittsbibliotek, aka CVE-2016-7256, som gjorde det möjligt för hackare att höja en PC: s kontoprivilegier och installera Hankrays bakdörr.
Relaterad
- Släpar efter i spel? Denna Windows 11-uppdatering kan lösa problemet
- Kan du inte hämta Windows 11 22H2-uppdateringen? Det kan finnas en bra anledning
- Varför spelare bör undvika uppdateringen av Windows 11 2022
"Teckensnittsproverna som hittades på drabbade datorer manipulerades specifikt med hårdkodade adresser och data för att återspegla faktiska kärnminneslayouter", sa de i fredagens rapport. "Detta indikerar sannolikheten att ett sekundärt verktyg dynamiskt genererade exploateringskoden vid tidpunkten för infiltrationen."
Med Windows 10 Anniversary Edition mildras typsnittsutnyttjande av AppContainer, vilket hindrar dem från att ske på kärnnivå. AppContainer inkluderar en isolerad sandlåda som blockerar exploateringar från att få eskalerade privilegier för en PC. Enligt duon minskar detta inmurade utrymme "avsevärt" chanserna att använda teckensnittsanalys som en attackvinkel.
"Windows 10 Anniversary Update inkluderar också ytterligare validering för fontfilanalys. I våra tester klarar den specifika exploateringskoden för CVE-2016-7256 helt enkelt dessa kontroller och kan inte nå sårbar kod”, tillade de.
Den andra attacken var en spjutfiskekampanj i oktober. Angreppet lanserades av Strontium-attackgruppen och använde en exploatering för CVE-2016-7255-sårbarheten tillsammans med CVE-2016-7855-sårbarheten i Adobe Flash Player. Gruppen riktade sig mot icke-statliga organisationer och tankesmedjor i USA. I huvudsak använde gruppen det Flash-baserade säkerhetshålet för att få tillgång till win32k.sys-sårbarheten för att få förhöjda privilegier för de riktade datorerna.
Anniversary Update inkluderar dock säkerhetstekniker som försvarar sig mot Win32k-exploateringen tillsammans med andra utnyttjande. Mer specifikt förhindrar Anniversary Update angripare från att korrumpera tagWND.strName-kärnstrukturen och använda SetWindowsTextW för att skriva godtyckligt innehåll i kärnminnet. Detta förhindrande uppnås genom att utföra ytterligare kontroller för bas- och längdfälten för att verifiera att de virtuella adressområdena är korrekta och att de inte är användbara för läs-skrivprimitiver.
Microsoft tillhandahåller ett dokument om de extra säkerhetsåtgärderna som stoppas in i Windows 10 Anniversary Update som PDF här. Som alltid är Windows Defender inbyggt i Windows-plattformen som en gratistjänst, som automatiskt skyddar kunderna mot de senaste hoten. Microsoft erbjuder också Windows Defender Advanced Threat Protection prenumerationstjänst för företaget, vilket ger ett skyddsskikt efter intrång.
Redaktörens rekommendationer
- Windows 11 vs. Windows 10: äntligen dags att uppgradera?
- Uppdatera Windows nu – Microsoft har precis fixat flera farliga exploateringar
- Windows 11 2022-uppdateringen kan sakta ner filöverföringar med 40 %
- Windows 11 2022 Update: de bästa nya funktionerna att testa idag
- Windows 11 2022-uppdateringen är vad vi borde ha sett från början
Uppgradera din livsstilDigitala trender hjälper läsarna att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
