Компания Microsoft обнародовала информацию о нашумевших уязвимостях, на которые ранее указывала Google в своем посте. Злоумышленники использовали связку из двух RCE+LPE уязвимостей для удаленного исполнения кода через Flash Player и обхода sandbox в браузере с использованием win32k.sys. Уязвимость в Flash Player с идентификатором CVE-2016-7855 была закрыта Adobe обновлением APSB16-36. Обновление для win32k.sys пока не вышло, хотя уязвимость актуальна для всех поддерживаемых версий Windows.Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб-браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб-браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE-уязвимости в этом драйвере, правда, при их использовании только на Windows 10.
Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by Google’s Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.
Источник
Chrome's sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.
Источник
Edge использует специальный метод блокирования Win32k.sys в контексте sandboxed-процессов, который называется Win32k syscalls filtering. Он позволяет ядру блокировать выполнение определенных системных вызовов Win32k.sys, которые были указаны приложением (только на Windows 10). В отличие от Edge, Chrome использует полное блокирование вызовов Win32k.sys на основе встроенного mitigation-механизма Windows 8+ SetProcessMitigationPolicy с параметром ProcessSystemCallDisablePolicy. Таким образом, на Windows 7 и Windows Vista ни один из двух веб-браузеров не сможет полностью заблокировать действие эксплойта. Известный инструмент Microsoft EMET также не может заблокировать действие подобного LPE-эксплойта.
Мы рекомендуем пользователям дождаться выхода соответствующего обновления Windows и установить его.
Комментарии (8)
crea7or
02.11.2016 23:02Это же та самая уязвимость которую по словам Microsoft используюn хакеры Кремля?
Ledzorn
02.11.2016 23:04Известный инструмент Microsoft EMET также не может заблокировать действие подобного LPE-эксплойта.
Вот это обидно. Вообще похоже, что EMET остановился в своём развитии, слишком долго не обновляется на свежие версии, проблемы с EAF на Windows 7, которые не собираются устранять. Его конкурент Malwarebytes Anti-Exploit развивается намного активнее.IRainman
06.11.2016 21:40Проблемы с EAF лечатся откатом на 5.2 раз и навсегда везде. 5.5 вообще не нужен, в нём кроме поддержки включения функции trusted fonts которая кроме 10 нигде не работает больше ничего не добавили. Вот тут подробно писал что делать.
Ledzorn
06.11.2016 22:02Благодарю за совет. Только поддержка версии 5.2 заканчивается в марте следующего года. А 5.51 — 31.08.2018. Т.е. если будут выпускаться security-обновления, то для 5.2 их уже не будет. Пока отключил EAF для всех приложений, но включил EAF+. В такой ситуации не знаешь, как поступить лучшим образом.
IRainman
08.11.2016 19:50Пожалуйста. Вообще до марта следующего года ещё надо дожить, а уже потом мучатся с 5.51. Ведь высока вероятность, что апдейтами до указанного срока поправят ошибку в Windows или ещё где как раз и приводящей к этим проблемам.
В общем я придерживаюсь очень простого принципа: не имеет смысла обновлять поддерживаемый софт если он работает, поддерживается и не создаёт проблем. Особенно не имеет смысла этого делать если после обновления этот софт перестаёт работать и начинает создавать проблемы. Тем более не имеет смысла обновлять работающую версию на проблемную, которая требует применения дополнительных костылей.
P.S. единственное полезное нововведение в 5.51 это обновлённые правила для сертификатов и приложений по умолчанию, которые легко вытаскиваются из новой версии и добавляются к уже имеющемуся конфигу. И да, обновления конфигов для текущих инсталляций надо делать независимо от установленной версии, так что это не проблема.
VANSCoder
03.11.2016 14:38Опасно нынче в интернет ходить. Теперь надо системник от интернета и розетки отключать что бы не подцепить вирус.
evnuh
Заголовок поста просто шокирующий, собственно, как и сам пост.