Microsoft теперь позволяет пользователям Windows блокировать драйверы

Microsoft теперь позволяет пользователям Windows блокировать драйверы, в которых содержатся известные уязвимости. За эту функциональность будут отвечать приложение Windows Defender Application Control (WDAC) и список уязвимых драйверов.

Новая функция является частью набора Core Isolation, предназначенного для устройств, использующих основанную на виртуализации защиту. Блокировка потенциально опасных драйверов работает на Windows 10, Windows 11 и Windows Server 2016 с включённой целостностью кода (HVCI).

В сущности, WDAC представляет собой дополнительный софтовый слой безопасности, отвечающий за блокировку уязвимых драйверов и защиту систем Windows от потенциально опасных программ. Задача WDAC — убедиться, что ОС загружает только безопасные приложения и драйверы. Также есть специальный список блокировки драйверов, которым WDAC будет пользоваться для актуализации сведений о потенциально опасном софте.

Кстати, пользователи могут отправить подозрительные драйверы на анализ на странице Microsoft Security Intelligence Driver Submission. Подытоживая, можно отметить, что WDAC защитит системы Windows от драйверов, отвечающих одному из перечисленных ниже требований: В них содержатся уязвимости, которые могут использоваться в кибератаках для повышения прав на уровне ядра Windows.

Они демонстрируют вредоносное поведение или используют непроверенные сертификаты. Проявляют поведение, которое пока ещё не вредоносное, однако обходит модель Windows Security для повышения прав. «Блокировка драйверов уровня ядра без тщательного тестирования может привести к сбоям в работе аппаратного и программного обеспечения, а в некоторых случаях даже к BSOD», — предупреждает Microsoft.

Источник: Новая защитная функция Windows блокирует уязвимые драйверы

 

[Candellmans]

Sophos предупреждает, что критическая ошибка брандмауэра активно эксплуатируется​

29 марта 2022 г.

• 10:00

Британский поставщик кибербезопасности Sophos предупредил, что недавно исправленная ошибка Sophos Firewall, позволяющая удаленное выполнение кода (RCE), теперь активно используется в атаках.

Уязвимость безопасности отслеживается как CVE-2022-1040 и получила критическое значение с базовой оценкой CVSS 9,8/10.

Это позволяет удаленным злоумышленникам обходить аутентификацию через пользовательский портал брандмауэра или интерфейс веб-администратора и выполнять произвольный код.

Уязвимость была обнаружена и сообщена анонимным исследователем, который обнаружил, что она влияет на Sophos Firewall v18.5 MR3 (18.5.3) и более ранние версии.

«Sophos обнаружила, что эта уязвимость используется для нападения на небольшой набор конкретных организаций, главным образом в регионе Южной Азии», — говорится в сообщении компании в обновлении исходного бюллетеня по безопасности.
«Мы проинформировали каждую из этих организаций напрямую. Sophos предоставит дополнительную информацию по мере продолжения расследования».

Исправления и обходные пути​

Чтобы устранить критическую ошибку, Sophos выпустила исправления, которые должны быть автоматически развернуты на всех уязвимых устройствах, поскольку функция «Разрешить автоматическую установку исправлений» включена по умолчанию.

Однако исправления, выпущенные для версий Sophos Firewall с истекшим сроком службы, необходимо обновлять вручную, чтобы закрыть дыру в системе безопасности и защититься от продолжающихся атак.

Для этих клиентов и тех, кто отключил автоматические обновления, также есть обходной путь, требующий от них защиты пользовательского портала и интерфейсов веб-администрирования путем ограничения внешнего доступа.

«Клиенты могут защитить себя от внешних злоумышленников, обеспечив, чтобы их пользовательский портал и веб-администратор не подвергались воздействию глобальной сети», — добавил Sophos .

«Отключите доступ через глобальную сеть к пользовательскому порталу и веб-администратору, следуя рекомендациям по доступу к устройствам, и вместо этого используйте VPN и/или Sophos Central для удаленного доступа и управления».

В дикой эксплуатации багов Sophos Firewall​

Sophos предоставляет подробную информацию о включении функции автоматической установки исправлений и проверке успешности развертывания исправлений .
После включения автоматической установки исправлений Sophos Firewall будет проверять наличие новых исправлений каждые тридцать минут и после перезапуска.
Исправление ваших экземпляров брандмауэра Sophos критически важно, особенно с учетом того, что они ранее использовались в дикой природе, а злоумышленники злоупотребляли SQL-инъекцией XG Firewall нулевого дня, начиная с начала 2020 года.
Вредоносное ПО Asnarök также использовалось для использования того же нулевого дня, чтобы попытаться украсть учетные данные брандмауэра из уязвимых экземпляров XG Firewall.
Нулевой день также использовался в атаках, пытающихся передать полезную нагрузку программы-вымогателя Ragnarok в корпоративные сети Windows.

Софос.ру