Злоумышленники используют 0day уязвимости в кибератаках на пользователей
Ранее мы уже несколько раз писали о механизмах блокирования действий эксплойтов в веб-браузерах Google Chrome и Microsoft Edge (Windows 10). Оба этих веб-браузера кроме использования sandbox на основе изоляции AppContainer, используют ограничения на использование системных сервисов драйвера win32k.sys. Chrome и Edge также успешно блокируют попытку эксплуатации LPE-уязвимости в этом драйвере, правда, при их использовании только на Windows 10.
Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by Google«s Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.
Источник
Chrome’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.
Источник
Edge использует специальный метод блокирования Win32k.sys в контексте sandboxed-процессов, который называется Win32k syscalls filtering. Он позволяет ядру блокировать выполнение определенных системных вызовов Win32k.sys, которые были указаны приложением (только на Windows 10). В отличие от Edge, Chrome использует полное блокирование вызовов Win32k.sys на основе встроенного mitigation-механизма Windows 8+ SetProcessMitigationPolicy с параметром ProcessSystemCallDisablePolicy. Таким образом, на Windows 7 и Windows Vista ни один из двух веб-браузеров не сможет полностью заблокировать действие эксплойта. Известный инструмент Microsoft EMET также не может заблокировать действие подобного LPE-эксплойта.
Мы рекомендуем пользователям дождаться выхода соответствующего обновления Windows и установить его.