Комп'ютерні системи Windows 10 допомагають зменшити експлуатацію нульового дня

Оновлено квітень 2024: Припиніть отримувати повідомлення про помилки та сповільніть роботу системи за допомогою нашого інструмента оптимізації. Отримайте зараз на посилання

1. Завантажити та встановити інструмент для ремонту тут.
2. Нехай сканує ваш комп’ютер.
3. Тоді інструмент буде ремонт комп'ютера.

RW шляхом пошкодження структури ядра tagWND.strName. Інвертуючи свій код, Microsoft виявила, що експлойт Win32k, який STRONTIUM використовував у жовтні 2016 року, використовував точно той самий метод. Після початкової вразливості Win32k експлойт пошкодив структуру tagWND.strName і використовував SetWindowTextW для запису довільного вмісту десь у пам’яті ядра.

Щоб мінімізувати вплив експлуатата Win32k та подібних експлуататів, Група дослідників наступальної безпеки для Windows (OSR) впровадив методику в ювілейному оновлення ювілейного оновлення Windows 10, яке може запобігти неправильному використанню tagWND.strName. Зменшення впливу здійснюється додатковими перевірками для полів бази і довжини, щоб переконатися, що вони не використовуються для примітивів RW.

CVE-2016-7256 Використання: підвищена привілейованість відкриття

У листопаді 2016 були виявлені невідомі гравці, які використовували помилку в бібліотеці шрифтів Windows (CVE-2016-7256) для збільшення привілеїв та встановлення бекдору Hankray - імплантату для виконання дрібних атак на комп’ютери, на яких працюють старіші версії Windows у Південній Кореї.

Виявлено, що зразки шрифтів на комп'ютерах, на які впливають, були спеціально маніпульовані жорстко зашифрованими адресами та даними, щоб відобразити фактичну схему пам'яті ядра. Подія вказувала на ймовірність того, що вторинний інструмент буде динамічно генерувати робочий код під час інфільтрації.

Вторинний виконуваний файл або інструмент сценаріїв, здавалося, виконував дію стирання використання шрифту, обчислював і готував жорсткі відступи, необхідні для використання API ядра і структур ядра на цільовій системі. Оновлення системи з Windows 8 до Windows 10 Anniversary Update завадило операційному коду CVE-2016-7256 досягти вразливого коду. Оновлення вдалося нейтралізувати не тільки конкретні подвиги, але і їхні методи роботи.

Висновок: Корпорація Майкрософт успішно руйнує робочі методи і закриває всі класи вразливостей через багаторівневе виявлення та пом'якшення експлуатації. Тому ці методи значно зменшують кількість атак, які можуть бути доступні для майбутніх подвигів.

Крім того, завдяки застосуванню цих методів пом'якшення, корпорація Майкрософт змусила зловмисників знайти нові способи захисту. Наприклад, навіть просте тактичне уповільнення популярних примитивних сил RW експлуатує злочинців, щоб виділити більше часу і ресурсів на пошук нових маршрутів атаки. Крім того, шляхом перенесення коду поліцейського аналізу в ізольований контейнер, компанія зменшила ймовірність того, що помилки поліції будуть використані як вектори для ескалації привілеїв.

На додаток до вищезазначених методів і рішень, Windows 10 Anniversary Updates вводить багато інших захистів у основні компоненти Windows і браузер Microsoft Edge, захищаючи системи від експлуататів, визначених як невизначені вразливості.

Порада експерта: Цей інструмент відновлення сканує репозиторії та замінює пошкоджені чи відсутні файли, якщо жоден із цих методів не спрацював. Він добре працює в більшості випадків, коли проблема пов’язана з пошкодженням системи. Цей інструмент також оптимізує вашу систему для максимальної продуктивності. Його можна завантажити за Натиснувши тут