Windows 10 Exploit Guard menghalang ancaman yang timbul

Computer Security News

Microsoft mengumumkan bahawa Windows Defender mengeksploitasi pengawal yang merupakan sebahagian daripada pengemaskinian Windows 10 kejatuhan pencipta adalah mampu untuk menghalang ancaman baru muncul.

Beberapa bulan yang lalu, Microsoft melaporkan bahawa pengawal mengeksploitasi Pembela Windows akan membuat yang dipertingkatkan tebatan pengalaman kit (EMET) berasal dari Windows 10, dan akan menyediakan pengguna dengan tambahan kelemahan kawalan.

Windows 10 Exploit Guard telah ditubuhkan untuk melindungi organisasi daripada ancaman lanjutan, termasuk sifar eksploitasi hari. Alat yang mempunyai empat komponen: serangan permukaan pengurangan, perlindungan rangkaian, capaian folder terkawal dan mengeksploitasi perlindungan.

Serangan permukaan pengurangan (ASR) adalah satu set kawalan perusahaan memberikan perlindungan daripada dijangkiti oleh menyekat Pejabat, skrip, dan ancaman berasaskan e-mel dengan perisian berniat jahat. Menurut Microsoft, ASAR boleh menyekat kelakuan asas dokumen-dokumen yang jahat (seperti fail pejabat dengan makro yang berniat jahat atau lampiran e-mel yang mengandungi malware) tanpa menghalang senario yang produktif.

“Dengan menyekat tingkah-laku yang jahat bukan apa ancaman atau mengeksploitasi ialah, Solat ASAR boleh melindungi perusahaan dari tidak pernah sebelum serangan sifar-hari dilihat seperti tempahan ditemui CVE-2017-8759, CVE-2017-11292, dan CVE-2017-11826” Syarikat Microsoft.

Selain menyekat aplikasi pejabat dari mencipta kandungan boleh laku, melancarkan proses kanak-kanak dan menyuntik ke dalam proses, Solat ASAR juga boleh menyekat Win32 import dari kod makro di pejabat dan menghalang kod makro obfuscated melaksanakan.

Di samping itu, ASAR ini mampu menyekat kod JavaScript, VBAScript dan PowerShell yang telah obfuscated, dan menghalang skrip daripada melaksanakan muatan yang dimuat turun daripada Internet, selain menyekat pelaksanaan kandungan boleh laku berkurangan daripada e-mel.

Untuk meningkatkan perlindungan rangkaian, pengawal mengeksploitasi memanfaatkan data dari ISG untuk doktor haiwan, dan jika perlu menyekat, semua sambungan keluar sebelum mereka disediakan, sekali gus mengelakkan perisian berniat jahat untuk berhubung dengan pelayan arahan dan kawalan (C & C). Trafik keluar rangkaian ini dinilai berasaskan nama hos dan kecerdasan reputasi berkaitan alamat IP.

Capaian folder terkawal pertama telah dimasukkan ke dalam Windows 10 dalam Insider pratonton membina 16232, dan bertujuan untuk memantau perubahan yang membuat permohonan kepada fail-fail yang terletak di folder tertentu dilindungi. Di samping itu, ianya mampu mengunci turun folder yang kritikal dan hanya membenarkan kuasa apps untuk mencapainya.

Mana-mana permohonan yang tidak dibenarkan, fail boleh laku yang berniat jahat dan mencurigakan, DLLs, skrip dan program-program lain akan dinafikan akses ke folder yang dilindungi. Ini harus menghalang penyulitan fail oleh ransomware, yang biasanya mensasarkan data penting seperti dokumen, gambar dan video, dan lain-lain fail-fail penting.

“Secara lalai, capaian folder terkawal melindungi folder umum di mana dokumen-dokumen dan lain-lain data penting yang disimpan, tetapi ia juga adalah fleksibel. Anda boleh menambah foler tambahan untuk melindungi, termasuk orang-orang pemacu lain. Anda juga boleh membenarkan apl yang anda percayai untuk mengakses folder terlindung, jadi jika anda menggunakan unik atau aplikasi adat, produktiviti harian biasa anda akan tidak terjejas, “ Microsoft berkata.

Perbadanan juga menjelaskan bahawa perlindungan pengeksploitasian yang dimasukkan ke dalam Windows Defender mengeksploitasi pengawal mewakili set pengurangan kerentanan dan hardening teknik-teknik yang telah dibina ke dalam Windows 10. Ini mewakili EMET bekas itu akan secara automatik dikonfigurasi dan digunakan pada mesin memasang kemas kini Windows 10 kejatuhan pencipta.

“Untuk membuat proses memindahkan perlindungan mengeksploitasi dan lebih mudah, Terdapat satu modul PowerShell yang menukarkan fail EMET XML seting ke Windows 10 langkah dasar untuk mengeksploitasi pengawal pengawal mengeksploitasi Pembela Windows. Modul PowerShell ini juga menyediakan antara muka tambahan Pusat Keselamatan Pembela Windows untuk mengkonfigurasi setingnya tebatan,” Syarikat Microsoft.


Leave a Reply

Your email address will not be published. Required fields are marked *