image logo

Злоумышленники используют 0day уязвимости в кибератаках на пользователей




Компания Microsoft обнародовала информацию о нашумевших уязвимостях, на которые ранее указывала Google в своем посте. Злоумышленники использовали связку из двух RCE+LPE уязвимостей для удаленного исполнения кода через Flash Player и обхода sandbox в браузере с использованием win32k.sys. Уязвимость в Flash Player с идентификатором CVE-2016-7855 была закрыта Adobe обновлением APSB16-36. Обновление для win32k.sys пока не вышло, хотя уязвимость актуальна для всех поддерживаемых версий Windows.

Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE уязвимости в этом драйвере, правда, при их использовании только на Windows 10.

Edge использует специальный метод блокирования Win32k.sys в контексте sandboxed-процессов, который называется Win32k syscalls filtering. Он позволяет ядру блокировать выполнение определенных системных вызовов Win32k.sys, которые были указаны приложением (только на Windows 10). В отличие от Edge, Chrome использует полное блокирование вызовов Win32k.sys на основе встроенного mitigation-механизма Windows 8+ SetProcessMitigationPolicy с параметром ProcessSystemCallDisablePolicy. Таким образом, на Windows 7 и Windows Vista ни один из двух веб-браузеров не сможет полностью заблокировать действие эксплойта. Известный инструмент Microsoft EMET также не может заблокировать действие подобного LPE-эксплойта.

Мы рекомендуем пользователям дождаться выхода соответствующего обновления Windows и установить его.