«Забезпечуючи ці методи пом’якшення [експлойтів], ми збільшуємо вартість розробки експлойтів, змушуючи зловмисників шукати шляхи обходу нових рівнів захисту», – сказали вони. «Навіть просте тактичне пом’якшення популярних примітивів читання-запису змушує авторів експлойтів витрачати більше часу та ресурсів на пошук нових маршрутів атак».
Рекомендовані відео
Перша кампанія атаки почалася в червні «невідомими особами», які використовували «Hankray» проти цілей, розташованих у Південній Кореї. Кампанія складалася з атак низького рівня, за якою в листопаді послідувала друга кампанія з використанням Hankray. Ця друга хвиля скористалася недоліком у бібліотеці шрифтів Windows, так само CVE-2016-7256, який дозволив хакерам підвищити привілеї облікового запису ПК і встановити бекдор Hankray.
Пов'язані
- Відставання в іграх? Це оновлення Windows 11 може вирішити проблему
- Не можете отримати оновлення Windows 11 22H2? Для цього може бути вагома причина
- Чому геймерам варто уникати оновлення Windows 11 2022
«Зразки шрифтів, виявлені на уражених комп’ютерах, були спеціально оброблені з жорстко закодованими адресами та даними, щоб відобразити фактичні макети пам’яті ядра», — йдеться в п’ятничному звіті. «Це вказує на ймовірність того, що вторинний інструмент динамічно згенерував код експлойта під час проникнення».
У ювілейному випуску Windows 10 AppContainer пом’якшує використання шрифтів, запобігаючи їх виникненню на рівні ядра. AppContainer містить ізольовану пісочницю, яка блокує експлойти від отримання підвищених привілеїв ПК. За словами дуету, цей закритий простір «суттєво» зменшує шанси використання аналізу шрифтів як кута атаки.
«Ювілейне оновлення Windows 10 також включає додаткову перевірку для аналізу файлів шрифтів. У наших тестах конкретний код експлойту для CVE-2016-7256 просто не проходить ці перевірки та не може отримати доступ до вразливого коду», – додали вони.
Другою атакою була фішингова кампанія в жовтні. Атака, запущена групою нападників Strontium, використовувала експлойт для уразливості CVE-2016-7255 разом із уразливістю CVE-2016-7855 у Adobe Flash Player. Група націлилася на неурядові організації та аналітичні центри в Сполучених Штатах. По суті, група використовувала діру в безпеці на основі Flash, щоб отримати доступ до вразливості win32k.sys і отримати підвищені привілеї цільових ПК.
Проте Anniversary Update містить методи безпеки, які захищають від експлойту Win32k разом з іншими експлойтами. Зокрема, Anniversary Update запобігає зловмисникам від пошкодження структури ядра tagWND.strName і використання SetWindowsTextW для запису довільного вмісту в пам’ять ядра. Це запобігання досягається шляхом виконання додаткових перевірок для полів основи та довжини, щоб переконатися, що діапазони віртуальних адрес правильні та що вони непридатні для примітивів читання-запису.
Корпорація Майкрософт надає документ про додаткові заходи безпеки, включені в ювілейне оновлення Windows 10 як PDF тут. Як завжди, Windows Defender вбудовано в платформу Windows як безкоштовний сервіс, автоматично захищаючи клієнтів від останніх загроз. Microsoft також пропонує Служба передплати Windows Defender Advanced Threat Protection для підприємства, забезпечуючи рівень захисту «після зламу».
Рекомендації редакції
- Windows 11 проти. Windows 10: нарешті час оновити?
- Оновіть Windows зараз — Microsoft щойно виправила кілька небезпечних експлойтів
- Оновлення Windows 11 2022 може сповільнити передачу файлів на 40%
- Оновлення Windows 11 2022: найкращі нові функції, які можна спробувати сьогодні
- Оновлення Windows 11 2022 — це те, що ми повинні були побачити з самого початку
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
