Pull to refresh
0

Злоумышленники используют 0day уязвимости в кибератаках на пользователей

Reading time2 min
Views6.6K
Компания Microsoft обнародовала информацию о нашумевших уязвимостях, на которые ранее указывала Google в своем посте. Злоумышленники использовали связку из двух RCE+LPE уязвимостей для удаленного исполнения кода через Flash Player и обхода sandbox в браузере с использованием win32k.sys. Уязвимость в Flash Player с идентификатором CVE-2016-7855 была закрыта Adobe обновлением APSB16-36. Обновление для win32k.sys пока не вышло, хотя уязвимость актуальна для всех поддерживаемых версий Windows.

Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб-браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб-браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE-уязвимости в этом драйвере, правда, при их использовании только на Windows 10.

Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by Google’s Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.

Источник

Chrome's sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.

Источник

Edge использует специальный метод блокирования Win32k.sys в контексте sandboxed-процессов, который называется Win32k syscalls filtering. Он позволяет ядру блокировать выполнение определенных системных вызовов Win32k.sys, которые были указаны приложением (только на Windows 10). В отличие от Edge, Chrome использует полное блокирование вызовов Win32k.sys на основе встроенного mitigation-механизма Windows 8+ SetProcessMitigationPolicy с параметром ProcessSystemCallDisablePolicy. Таким образом, на Windows 7 и Windows Vista ни один из двух веб-браузеров не сможет полностью заблокировать действие эксплойта. Известный инструмент Microsoft EMET также не может заблокировать действие подобного LPE-эксплойта.

Мы рекомендуем пользователям дождаться выхода соответствующего обновления Windows и установить его.
Tags:
Hubs:
Total votes 18: ↑15 and ↓3+12
Comments8

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия