Технология SmartScreen представляет из себя компонент безопасности Windows, который используется для защиты пользователя от запуска подозрительных исполняемых файлов и посещения вредоносных ресурсов. Компонент изначально появился для веб-браузера Internet Explorer 8 и позволял ему уведомлять пользователя о посещении сомнительных ресурсов на основе специальной пополняемой Microsoft базы данных. Начиная с Windows 8 этот компонент также стал неотъемлемой частью ОС, повышая безопасность ОС путем блокирования запуска сомнительных исполняемых файлов.
Несколько дней назад Microsoft анонсировала улучшение SmartScreen, которое направлено на блокирование атак типа drive-by download, столь популярных у злоумышленников на сегодняшний день. Такой тип атак позволяет злоумышленникам автоматически устанавливать вредоносное ПО на компьютер пользователя с помощью эксплойта, при посещении им скомпрометированного веб-сайта.
Для drive-by download, как правило, выбирается RCE-эксплойт либо для самого веб-браузера, например, Internet Explorer, либо для популярного плагина, например, Adobe Flash Player, Oracle Java. Эксплойт может использовать как уязвимость нулевого дня, так и ту уязвимость, для которой уже выпущено исправление вендором. К реализации drive-by download привлекаются наборы эксплойтов, что позволяет злоумышленникам применить не один, а несколько различных эксплойтов для различных продуктов и их версий.
Microsoft указывает, что для блокирования SmartScreen вредоносных элементов, которые используются в drive-by download, используются служебные данные и данные телеметрии, собранные с использованием всевозможных источников, включая, веб-браузеры Edge и Internet Explorer, поисковую систему Bing, защитник Windows Defender, а также EMET.
Рис. Окно блокировки drive-by атаки SmartScreen на веб-браузере Edge.
SmartScreen включен по умолчанию и также будет предупреждать пользователя о присутствии потенциально вредоносных фреймов на загружаемой браузером IE 10,11 или Edge веб-странице. Улучшение было доставлено пользователям Windows 10 в рамках большого обновления ОС 1511.
Несколько дней назад Microsoft анонсировала улучшение SmartScreen, которое направлено на блокирование атак типа drive-by download, столь популярных у злоумышленников на сегодняшний день. Такой тип атак позволяет злоумышленникам автоматически устанавливать вредоносное ПО на компьютер пользователя с помощью эксплойта, при посещении им скомпрометированного веб-сайта.
Для drive-by download, как правило, выбирается RCE-эксплойт либо для самого веб-браузера, например, Internet Explorer, либо для популярного плагина, например, Adobe Flash Player, Oracle Java. Эксплойт может использовать как уязвимость нулевого дня, так и ту уязвимость, для которой уже выпущено исправление вендором. К реализации drive-by download привлекаются наборы эксплойтов, что позволяет злоумышленникам применить не один, а несколько различных эксплойтов для различных продуктов и их версий.
To avoid impacting browsing performance, SmartScreen helps protect against drive-by attacks by using a small cache file created by the SmartScreen service. This cache file is periodically updated by your browser to help keep you protected and to ensure that calls to the SmartScreen service are only made if we believe there’s a high probability of malicious content on a page.
Microsoft указывает, что для блокирования SmartScreen вредоносных элементов, которые используются в drive-by download, используются служебные данные и данные телеметрии, собранные с использованием всевозможных источников, включая, веб-браузеры Edge и Internet Explorer, поисковую систему Bing, защитник Windows Defender, а также EMET.
Рис. Окно блокировки drive-by атаки SmartScreen на веб-браузере Edge.
SmartScreen включен по умолчанию и также будет предупреждать пользователя о присутствии потенциально вредоносных фреймов на загружаемой браузером IE 10,11 или Edge веб-странице. Улучшение было доставлено пользователям Windows 10 в рамках большого обновления ОС 1511.