Зловмисники використовують 0day уразливості в кібератаках на користувачів

Компанія Microsoft обнародовала інформацію про відомі уразливості, на які раніше вказувала Google у своєму пості. Зловмисники використовували зв'язку з двох RCE+LPE вразливостей для віддаленого виконання коду через Flash Player і обходу sandbox в браузері з використанням win32k.sys. Уразливість в Flash Player з ідентифікатором CVE-2016-7855 була закрита Adobe оновленням APSB16-36. Оновлення для win32k.sys поки не вийшло, хоча вразливість актуальна для всіх підтримуваних версій Windows.

Раніше ми вже кілька разів писали про механізми блокування дій експлойтів в веб-браузерах Google Chrome і Microsoft Edge (Windows 10). Обидва цих веб-браузера крім використання sandbox на основі ізоляції AppContainer, використовують обмеження на використання системних сервісів драйвера win32k.sys. Chrome і Edge також успішно блокують спробу експлуатації LPE-уразливості в цьому драйвері, правда, при їх використанні тільки на Windows 10.

Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by google's Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.
Источник

chrome для s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.
Источник

Edge використовує спеціальний метод блокування Win32k.sys у контексті sandboxed-процесів, який називається Win32k syscalls filtering. Він дозволяє ядру блокувати виконання певних системних викликів Win32k.sys, які були вказані додатком (тільки на Windows 10). На відміну від Edge, Chrome використовує повне блокування викликів Win32k.sys на основі вбудованого mitigation-механізму Windows 8+ SetProcessMitigationPolicy з параметром ProcessSystemCallDisablePolicy. Таким чином, на Windows 7 і Windows Vista жоден з двох веб-браузерів не зможе повністю заблокувати дію експлойта. Відомий інструмент Microsoft EMET також не може заблокувати дію подібного LPE-експлойта.

Ми рекомендуємо користувачам дочекатися виходу відповідного оновлення Windows і встановити його.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.