Речь идет о той самой Windows 10 Insider Preview Build 14316, которая упомянул нас несколько раз в предыдущих постах, посвященных подсистеме Ubuntu Linux. В новой сборке Windows 10 изменения не обошли ядро.
Майкрософт добавлен появился новый объект ядра под названием RegistryTransaction с соответствующими функциями API для работы с ним, например [NtCommit/NtCreate/NtOpen/NtRollback]RegistryTransaction .
Как нетрудно догадаться, речь идет об атомарных операциях с данными реестра.
Еще одним улучшением является введение долгожданной функции под названием Фильтрация системных вызовов Win32k на уровне ядра Windows. Поскольку он все еще находится в предварительной сборке Windows 10, о нем мало что известно.
Его основная цель — полностью закрыть «песочницу» для процессов соответствующих приложений, например браузеров, и снять для них вопрос эксплуатации LPE-уязвимостей в win32k.sys. Сегодня подобные уязвимости являются для эксплойта основным способом получения максимальных СИСТЕМНЫХ прав при проникновении в систему через веб-браузер.
Рис.
Общий схема работа фильтрации системных вызовов Win32k на примере веб-браузера Edge, изолированного в песочнице AppContainer, который позволяет полностью закрыть AppContainer от внешнего воздействия.
Стоит отметить, что авторы веб-браузера Google Chrome в прошлом году добавлен он содержит функцию, которая защищает изолированные процессы (процессы рендеринга в терминологии Google) от вредного воздействия win32k.sys. Поскольку Chrome делегирует графику и управление окнами основному родительскому процессу, дочерние процессы в песочнице полностью освобождаются от необходимости выполнять операции с графическим интерфейсом, такие как рисование окон и другие графические интерфейсы.
Раньше это делалось с помощью настроек веб-браузера.
-enable_win32k_renderer_lockdown .
Полное отключение win32k.sys является достаточной мерой безопасности только для такого веб-браузера, как Chrome, который имеет четко определенную модель распределения функций между родительским процессом и процессом рендеринга (функции графического интерфейса не мешают работе в песочнице).
Microsoft предлагает более гибкий путь, функция Фильтрация системных вызовов Win32k ( PsAttributeWin32kFilter ) поможет выборочно отфильтровать те функции, которые не нужны процессу, например Edge, и оставить только самые необходимые.
Функция Фильтрация системных вызовов Win32k органично дополняет еще одну функцию безопасности Windows 10, которая была впервые представлена.
добавлен Microsoft для защиты от эксплойтов LPE. Речь идет о функции Блокировать ненадежные шрифты , который также появился в EMET (см.
kernel32!SetProcessMitigationPolicy с аргументом ПроцессФонтдисаблеполици ).
Рис.
EMET позволяет принудительно включить функцию Блокировать ненадежные шрифты для выбранного процесса, тем самым покрывая еще одну поверхность атаки с помощью эксплойтов LPE, которые используют специально созданные файлы шрифтов для эксплуатации уязвимостей в Win32k.sys. Microsoft известна своим тщательным подходом к функциям защиты от эксплойтов, интегрированным в Windows. Там последовательно появились DEP, SEHOP, ASLR, IE11-EPM, IE11-64bit_tabs, HEASLR. Бесплатный инструмент EMET позволял принудительно устанавливать такие параметры для процессов.
При этом только с Windows 10 Microsoft начала предпринимать описанные выше шаги для закрытия уязвимостей, которые используются эксплойтами LPE. Раньше мы написал и о новом веб-браузере Edge в Windows 10, в котором Microsoft отказалась от всех устаревших технологий, таких как COM или ActiveX, которые использовались для внедрения их кода в веб-браузер вредоносным ПО (тот же случится и флеш-плеер).
Он также закрыл другие возможные места для внедрения вредоносного кода в работающий процесс, а также по умолчанию использует AppContainer и 64-битные вкладки.
Использование функции Фильтрация системных вызовов Win32k сделает этот веб-браузер еще более безопасным.
Теги: #windows 10 #безопасность #информационная безопасность
-
Шимпанзе
19 Oct, 24 -
Veeam Explorer Для Microsoft Sharepoint 2013
19 Oct, 24 -
Веб-Интерфейсы Без Использования Колеса Мыши
19 Oct, 24 -
Byd Auto — Компания, Которая Обогнала Apple
19 Oct, 24 -
Синхронизация Различных Хранилищ Данных
19 Oct, 24 -
Перевод Cocoa В Интернет. 280 Северный Путь.
19 Oct, 24
