Microsoft добавила в Windows 10 очередную функцию защиты от эксплойтов
Речь про тот же Windows 10 Insider Preview Build 14316, который упоминался нами несколько раз в предыдущих постах, посвященных подсистеме Ubuntu Linux. В новом билде Windows 10 изменения не обошли и ядро. Microsoft добавила туда новый объект ядра под названием RegistryTransaction с соответствующими API-функциями работы с ним вроде [NtCommit/NtCreate/NtOpen/NtRollback]RegistryTransaction. Как не трудно догадаться, речь идет об атомарных операциях с данными реестра.
Другим улучшением стало появление долгожданной функции под названием Win32k syscalls filtering на уровне ядра Windows. Так как она все еще находится в предварительной сборке Windows 10, о ней известно не так много. Основное ее предназначение заключается в том, что она позволит полностью закрыть sandbox для процессов соответствующих приложений, типа браузеров и снимет вопрос эксплуатации LPE-уязвимостей в win32k.sys для них. На сегодняшний день такие уязвимости являются основной возможностью получения эксплойтом максимальных прав SYSTEM при проникновении в систему через веб-браузер.
Рис. Общая схема работы Win32k syscalls filtering на примере AppContainer-sandboxed веб-браузера Edge, который сможет полностью закрыть AppContainer от внешнего воздействия.
Стоит отметить, что авторы веб-браузера Google Chrome еще в прошлом году добавили в него функцию, которая защищает sandboxed-процессы (renderer-процессы по терминологии Google) от пагубного воздействия win32k.sys. Так как Chrome делегирует работу с графикой и окнами на основной родительский процесс, дочерние sandboxed-процессы полностью освобождаются от необходимости осуществления GUI-операций, например, прорисовки окон и прочего GUI. Ранее для этого использовалась настройка веб-браузера -enable_win32k_renderer_lockdown.
Полное отключение win32k.sys является достаточной мерой обеспечения безопасности только для такого веб-браузера как Chrome, который имеет четко определенную модель распределения функций между родительским и renderer-процессами (GUI-функции не пересекаются с sandboxed). Microsoft предлагает более гибкий путь, функция Win32k syscalls filtering (PsAttributeWin32kFilter) поможет выборочно фильтровать те функции, которые не нужны процессу, например, Edge, и оставлять только самые необходимые.
Функция Win32k syscalls filtering органично дополняет другую функцию безопасности Windows 10, которая впервые была добавлена Microsoft для защиты от LPE-эксплойтов. Речь идет о функции Block Untrusted Fonts, которая также появилась и в EMET (см. kernel32!SetProcessMitigationPolicy с аргументом ProcessFontDisablePolicy).
Рис. EMET позволяет принудительно включать функцию Block Untrusted Fonts для выбранного процесса, таким образов перекрыв другую поверхность атаки LPE-эксплойтами, которые используют specially crafted файлы шрифтов для эксплуатации уязвимостей в Win32k.sys.
Microsoft известна своим внимательным подходом к функциям защиты от эксплойтов, которые интегрированы в Windows. Там последовательно появлялись DEP, SEHOP, ASLR, IE11-EPM, IE11-64bit_tabs, HEASLR. Бесплатный инструмент EMET позволял принудительно включать такие настройки для процессов. В то же время, только с Windows 10 Microsoft стала предпринимать указанные выше шаги по закрытию уязвимых мест, которые используются LPE-эксплойтами.
Ранее мы писали и про новый веб-браузер Edge в Windows 10, в котором Microsoft отказалась от всех устаревших технологий типа COM или ActiveX, которые использовались для внедрения своего кода в веб-браузер вредоносными программами (то же постигнет и Flash Player). Она также закрыла другие возможные места внедрения (инжекции) вредоносного кода в run-time запущенный процесс, а также использует AppContainer и 64-битные вкладки по умолчанию. Использование функции Win32k syscalls filtering сделает этот веб-браузер еще более безопасным.
Эксплойты и комплекты эксплойтов
Эксплойты используют уязвимости в программном обеспечении. Уязвимость — это как дыра в программном обеспечении, которое может использовать вредоносное ПО для получения на устройство. Вредоносные программы используют эти уязвимости, чтобы обойти защитные меры безопасности компьютера, чтобы заразить устройство.
Работа наборов эксплойтов и эксплойтов
Эксплойты часто являются первой частью более масштабной атаки. Хакеры сканируют устаревшие системы, содержащие критически важные уязвимости, которые они затем используют, развертывая целевые вредоносные программы. Эксплойты часто включают код оболочки, который является небольшой полезной нагрузкой вредоносных программ, используемых для загрузки дополнительных вредоносных программ из управляемых злоумышленниками сетей. Shellcode позволяет хакерам заражать устройства и проникать в организации.
Наборы эксплойтов — это более комплексные средства, содержащие коллекцию эксплойтов. Эти наборы сканируют устройства для различных типов уязвимостей программного обеспечения и, если они обнаружены, развертывают дополнительные вредоносные программы для дальнейшего заражения устройства. Наборы могут использовать эксплойты, нацеленные на различные программы, в том числе Adobe Flash Player, Adobe Reader, Internet Explorer, Oracle Java и Sun Java.
Наиболее распространенный метод, используемый злоумышленниками для распространения эксплойтов и наборов эксплойтов, — это веб-страницы, но они также могут поступать в сообщения электронной почты. Некоторые веб-сайты непреднамеренно и невольно размещают вредоносный код и эксплойт в своих объявлениях.
В приведенной ниже инфографике показано, как набор эксплойтов может пытаться использовать устройство после посещения скомпрометированной веб-страницы.
Рисунок 1. Пример работы с наборами
Несколько заметных угроз, в том числе Wannacry, используют уязвимость CVE-2017-0144 для запуска вредоносных программ.
Примеры наборов эксплойтов:
Дополнительные новости об эксплойтах читайте в этом сообщении в блоге о том, как разобрать двойной образец нулевого дня, обнаруженный в совместной охоте с ESET.
Как мы именуем эксплойтов
Мы классифицировать эксплойты в нашей энциклопедии вредоносных программ по целевой «платформе». Например, Exploit:Java/CVE-2013-1489. A — это эксплойт, нацеленный на уязвимость в Java.
Проект под названием «Общие уязвимости и воздействия (CVE)» используется многими поставщиками программного обеспечения безопасности. Проект предоставляет каждой уязвимости уникальный номер, например CVE-2016-0778. В части «2016» указывается год обнаружения уязвимости. The «0778» is a unique ID for this specific vulnerability.
Дополнительные тексты можно прочитать на веб-сайте CVE.
Защита от эксплойтов
Лучшей профилактикой эксплойтов является обновление программного обеспечения организации. Поставщики программного обеспечения предоставляют обновления для многих известных уязвимостей, поэтому убедитесь, что эти обновления применяются на всех устройствах.
Как настроить Защиту от эксплойтов в Windows 10
Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.
Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.
Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.
Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.
Все настройки разделены на две категории: Системные параметры и Параметры программ.
На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:
Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.
По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.
Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.
Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.
В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.
PowerShell
Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:
Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.
Импорт и экспорт конфигураций
Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.
Кроме того, конфигурации EMET можно преобразовать для последующего импорта.
Использование настроек защиты от эксплойтов
Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.
Использование PowerShell для экспорта файла конфигурации
Измените путь и filename.xml, указав требуемое местоположение и название файла.
Использование PowerShell для импорта файла конфигурации
Использование групповых политик для установки файла конфигурации
Вы можете установить файлы конфигураций с помощью редактора групповых политик:
Эксплойт для новой 0-day в Windows 10 и 11 позволяет любому стать админом
Исследователь в области кибербезопасности Абдельхамид Насери выложил в общий доступ эксплойт для уязвимости нулевого дня в Windows 10, Windows 11 и Windows Server. Согласно описанию, эта брешь приводит к повышению прав в системе, а потенциальный злоумышленник может с её помощью получить привилегии администратора.
Специалисты BleepingComputer уже успели проверить опубликованный эксплойт и смогли открыть командную строку с правами SYSTEM. Поскольку в ходе тестов использовался аккаунт с низкими привилегиями, эксплойт можно назвать рабочим.
Опасность заключается в том, что киберпреступник с ограниченными правами в ОС может существенно повысить их и двигаться латерально внутри скомпрометированной сети. Уязвимость затрагивает все поддерживаемые версии операционной системы, включая Windows 10, Windows 11 и Windows Server 2022.
Проблема в безопасности получила идентификатор CVE-2021-41379. Рабочий PoC-эксплойт Насери опубликовал на площадке GitHub с пометкой, что он работает с любой поддерживаемой версией Windows.
Оказалось, что исследователь выявил способ эксплуатации после анализа ноябрьского набора патчей от Microsoft. По словам Насери, разработчики некорректно устранили баг CVE-2021-41379, что и привело к новому вектору атаки.
Читайте также
Вице-премьер Юрий Борисов заявил, что за первые полгода 2021-го число кибератак на российские государственные органы и критические объекты превысило аналогичный показатель за весь 2020 год. При этом Борисов знает, как снизить риски — перейти на российское оборудование.
Вице-премьер говорит о кибероперациях, направленных против критической информационной инфраструктуры (КИИ) России, к которой относят информационные системы и сети госорганов, а также организации финансового, телекоммуникационного и топливно-энергетического секторов.
Борисов отметил, что киберпреступники ставили перед собой главную задачу — посеять хаос и нарушить работу КИИ. Более того, нельзя исключать увеличение количества подобных атак в будущем, отметил вице-премьер.
Чтобы хоть как-то гарантировать степень защиты объектов КИИ, Борисов предлагает комбинировать отечественные программно-аппаратные решения с иностранными, поскольку на одних зарубежных процессорах «нельзя обеспечить заданный уровень надежности».
По словам политика, которые передаёт РБК, только комбинация импортных решений с нашими способна обеспечить приемлемый уровень информационной безопасности. Лишь отечественные электронные решения не дадут такого эффекта, считает вице-премьер.
Включить защиту от эксплойтов
Область применения:
Защита от эксплойтов помогает защититься от вредоносных программ, которые используют эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества смягчающих последствий, которые можно применить к операционной системе или отдельным приложениям.
В защиту эксплойтов включены многие функции из набор средств (EMET).
Каждое смягчение можно включить отдельно, используя любой из этих методов:
Защита от эксплойта настраивается по умолчанию в Windows 10 и Windows 11. Вы можете настроить каждое смягчение, чтобы включить, отключить или значение по умолчанию. Некоторые меры по смягчению последствий имеют больше возможностей. Эти параметры можно экспортировать в качестве XML-файла и развертывать на других устройствах.
Вы также можете настроить смягчение последствий в режим аудита. Режим аудита позволяет проверить, как будут работать меры по смягчению последствий (и обзор событий), не влияя на нормальное использование устройства.
Безопасность Windows приложение
Откройте приложение Безопасность Windows, выбрав значок щита в панели задач или меню безопасности.
Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите параметры защиты exploit.
Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.
После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. Выбор аудита будет применяться только в режиме аудита. Вы уведомлены о необходимости перезапуска процесса или приложения или о необходимости перезапуска Windows.
Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить.
В разделе Параметры системы найдите решение, необходимое для настройки, а затем укажите один из следующих параметров. Приложения, которые не настроены отдельно в разделе Параметры программы, используют параметры, настроенные здесь.
Повторите шаг 6 для всех системных смягчений, которые необходимо настроить. Выберите Применить, когда вы закончили настройку конфигурации.
Если вы добавите приложение в раздел Параметры программы и настроите там отдельные параметры смягчения, они будут соблюдаться выше конфигурации для тех же смягчений, указанных в разделе Параметры системы. В следующей матрице и примерах показано, как работают по умолчанию:
| Включено в параметрах программы | Включено в параметрах System | Поведение |
|---|---|---|
| Да | Нет | Как определено в параметрах программы |
| Да | Да | Как определено в параметрах программы |
| Нет | Да | Как определено в параметрах System |
| Нет | Да | По умолчанию, как определено в параметре Использование по умолчанию |
Пример 1. Mikael настраивает предотвращение выполнения данных в разделе параметры системы, отключенной по умолчанию
Микаэль добавляет приложение test.exe в раздел Параметры программы. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Mikael включает параметр параметры системы Override и задает переключатель На. В разделе Параметры программы не указаны другие приложения.
В результате deP включен только для test.exe. Все другие приложения не будут применяться к DEP.
Пример 2. Josie настраивает предотвращение выполнения данных в параметрах системы, отключенных по умолчанию
Джози добавляет приложение test.exe в раздел Параметры программы. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Josie включает параметр параметры системы Override и задает переключатель На.
Джози также добавляет приложениеmiles.exe в раздел Параметры программы и настраивает службу управления потоком (CFG) в On. Josie не включает параметры системы Override для DEP или любые другие меры по смягчению последствий для этого приложения.
В результате deP включен для test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. CFG будет включен для miles.exe.
Откройте приложение Безопасность Windows, выбрав значок щита в панели задач или нажав меню пусков для Безопасность Windows.
Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit.
Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.
После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. Выбор аудита будет применяться только в режиме аудита. Вы будете уведомлены о необходимости перезапустить процесс или приложение или перезапустить Windows.
Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить. Выберите Применить, когда вы закончили настройку конфигурации.
Intune
Вопишитесь на портал Azure и откройте Intune.
Перейдите к профилям > конфигурации устройств > Создайте профиль.
Назови профиль, выберите Windows 10 и более поздний и конечную точки защиты.
Выберите Настройка Защитник Windows защита от > эксплойтов > guard.
Upload XML-файл с настройками защиты от эксплойтов:
Выберите ОК, чтобы сохранить каждое открытое лезвие, а затем выберите Создать.
Выберите вкладку Назначения профилей, назначьте политику всем пользователям & всем устройствам, а затем выберите Сохранить.
Microsoft Endpoint Manager
В Microsoft Endpoint Manager перейдите к уменьшению поверхности Endpoint Security > Attack.
Выберите создание > платформы политики, а для профиля выберите защиту от эксплойтов. Затем нажмите кнопку Создать.
Укажите имя и описание, а затем выберите Далее.
Выберите выберите XML-файл и просмотрите расположение XML-файла защиты от эксплойтов. Выберите файл, а затем выберите Далее.
Настройка тегов Области и назначений при необходимости.
В обзоре + создайте, просмотрите параметры конфигурации, а затем выберите Создать.
Microsoft Endpoint Configuration Manager
В Microsoft Endpoint Configuration Manager перейдите в службу Assets and Compliance > Endpoint Protection Защитник Windows > Exploit Guard.
Выберите > домашнее создание политики защиты от эксплойтов.
Укажите имя и описание, выберите защиту exploit и выберите Далее.
Просмотрите расположение XML-файла защиты от эксплойтов и выберите Далее.
Просмотрите параметры и выберите Далее, чтобы создать политику.
После создания политики выберите Close.
Групповая политика
На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и нажмите кнопку Изменить.
В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны.
Расширь дерево до Windows компонентов Защитник Windows > exploit Guard Exploit > Protection Use > a common set of exploit protection settings.
Выберите включено и введите расположение XML-файла,а затем выберите ОК.
PowerShell
Используйте Set для настройки каждого смягчения в следующем формате:
Например, чтобы включить смягчение меры по предотвращению выполнения данных (DEP) с помощью эмуляции thunk ATL и для исполняемого под названием testing.exe в папке C:\Apps\LOB\tests, а также предотвратить создание детских процессов, необходимо использовать следующую команду:
Разделите каждый вариант смягчения с запятой.
Если вы хотите применить DEP на уровне системы, вы используете следующую команду:
[ 1. ] Используйте следующий формат, чтобы включить модули EAF для DLLs для процесса:
[ 2. ] Аудит для этого смягчения не доступен с помощью cmdlets PowerShell.
Настройка уведомления
Сведения о настройке уведомления при запуске правила и блокировке приложения или файласм. в Безопасность Windows.