От Майкрософт се хвалят с това колко сигурен е станал Windows 10 Anniversary Update, след като е блокирал две уязвимости, за които дори не е издаван пач.
Windows 10 Anniversary Update е успял да предпази своите потребители от две критични zero-day уязвимости, без за тях да са издавани специални кръпки, съобщават от Майкрософт.
В много дълъг пост Elia Florio и Matt Oh, които са служители в Windows Defender ATP екипа, разкриват, че системите за намаляване на опасността от zero-day заплахи, които са вградени в Anniversary Update, са спомогнали за блокирането на две критични уязвимости.
Първата уязвимост е CVE-2016-7255 и според Майкрософт е използвана от Strontium групата, за да осъществява атаки срещу цели в САЩ през октомври. Използвайки уязвимост в Adobe Flash Player, престъпниците са се опитали да достъпят уязвими машини и след това използвайки втора уязвимост в Windows 10, да получат административни права върху машината.
Както изглежда обаче, въпреки че тази zero-day уязвимост не е била закърпена навреме, потребителите на Windows 10 Anniversary Update са били напълно защитени, благодарение на технологиите, които са вградени в новата операционна система. В най-лошия случай при опит за атака потребителите просто са получавали син екран (BSOD).
От Майкрософт обясняват, че за да предотвратят подобен вид атаки, при които се експлойтва Win32k, както и при подобни случаи, от екипа на Windows Defender ATP са въвели техники в Windows 10 Anniversary Update, които пречат да се използва неправомерно tagWND.strName.
С новата технология се извършват допълнителни проверки, които показват, че при Anniversary Update подобни заплахи, които използват RW primitive в кернела, са неефективни. Вместо това тези експлойти предизвикват само син екран.
Втората zero-day уязвимост, която Windows 10 Anniversary Update е блокирал е CVE-2016-7256, която използва компрометирани шрифтове, за получаването на администраторски права.
От Майкрософт обясняват, че първите-кибер престъпници, които са забелязани да използват тази уязвимост, са били забелязани през юни месец 2016-та и са атакували цели в Южна Корея. Крайната цел е била инсталирането на бекдора Hankray, който дава пълни администраторски права на престъпниците над атакуваната машина.
В този случай обаче тези атаки са били отблъснати от друга технология, а именно AppContainer. Зловредният шрифт, от който се е очаквало да даде администраторски права на престъпниците не е могъл да бъде изпълнен, защото е бил стартиран в защитена (sandbox) среда и не е бил стартиран на ниво кернел, което е неутрализирало експлойта.
От Майкрософт обещават, че идващия през пролетта Windows 10 Creators Update ще има още подобни технологии, които да възпрепядстват zero-day атаките.