Intel til Windows 10-brugere: Du har rettelser til 19 alvorlige fejl, så brug dem!
Opdatering Intel grafik, Windows drivere, og stoppe med at bruge Intel Matrix Storage Manager og USB 3.0 Skaber Nytte.
Som en del af sin indsats for at beskytte Windows-10 fra næste WannaCry, sikkerhed forskere på Microsoft opdaget en buggy Huawei værktøj, der kunne have givet angribere en billig måde at underminere sikkerheden i Windows-kernen.
Microsoft har nu detaljeret, hvordan det har fundet en alvorlig lokal rettighedsforøgelse fejl i Huawei PCManager driver software til sin MateBook linje af Windows 10 bærbare computere. Tak til Microsoft ‘ s arbejde, den Kinesiske tech gigant lappet fejl i januar.
Som Microsoft forskere forklare, tredje-parts kerne-drivere bliver mere og mere attraktivt for angribere som en side-dør til at angribe den kerne, uden at skulle overvinde sin beskyttelse ved hjælp af et dyrt nul-dag kerne udnytte i Windows.
Fejl i Huawei ‘ s software blev opdaget af nye kerne sensorer, der blev gennemført i Windows-10 oktober 2018 Opdatering, aka version 1809.
Sensorerne er en del af Microsoft ‘s svar til WannaCry malware udbrud af 2017, hvilket skabte kaos i det BRITISKE sundhedsvæsen, National Health Service og inficeret omkring 200.000 Windows-Pc’ er rundt omkring i verden. Den malware, der blev tilskrevet nordkoreanske hackere.
Specielt, de sensorer, der er designet til at fange malware som DoublePulsar, en bagdør implantat skabt af National Security Agency, hackere, der blev lækket af Den Skygge Mæglere i begyndelsen af 2017. DoublePulsar kører i kernel mode og var bilen for at levere WannaCry, kopiering malware fra kernen til bruger-plads.
Kernen sensorer, der er beregnet til at håndtere de vanskeligheder, opdage skadelig kode, der kører i kernen, og er designet til at detektere brugeren-plads asynkron procedure call (APC) – kode injektion fra kernen.
Microsoft Defender ATP anti-malware bruger disse sensorer til at registrere tiltag, der er forårsaget af kerne koden, der kan tilføre kode i bruger-tilstand.
Huawei ‘ s PCManager udløst Defender ATP-indberetninger på flere Windows-10 enheder, hvilket fik Microsoft til at iværksætte en undersøgelse.
“Jagt førte os til den kerne kode, der udløste alarmen. Man ville forvente, at en device management-software ville udføre det meste hardware-relaterede opgaver, med den medfølgende enhedsdrivere, bliver meddelelsen lag med OEM-specifikke hardware,” forklarer Amit Rapaport, en forsker på Microsoft Defender ATP-team.
“Hvorfor blev denne driver, der udviser usædvanlig adfærd? For at besvare dette spørgsmål, vi reverse-engineered HwOs2Ec10x64.sys.”
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Undersøgelsen førte forsker til den eksekverbare MateBookService.exe. På grund af en fejl i Huawei ‘s vagthund’ mekanisme for HwOs2Ec10x64.sys en hacker er i stand til at skabe en ondsindet forekomst af MateBookService.exe til at opnå forøgede rettigheder.
Fejlen kan bruges til at lave kode, der kører med lave privilegier læse og skrive til andre processer eller til kernel space, hvilket fører til en “fuld maskine kompromis”. Microsoft har anvendt ‘proces udhuling’, som er et populært trick bruges af malware forfattere, for at demonstrere en fejl.
“En hacker-kontrolleret forekomst af MateBookService.exe der vil stadig være adgang til enheden \.HwOs2EcX64 og være i stand til at kalde nogle af sine IRP funktioner. Derefter hacker-styret proces kunne misbruge denne evne til at tale med enheden, for at registrere en så eksekverbare af sine egne valg,” forklarer Rapaport.
“I betragtning af den kendsgerning, at en forælder-processen har samtlige tilladelser over sine børn, selv en kode med lave privilegier kan gyde en inficeret MateBookService.exe og injicere kode ind i det.”
Ifølge Huawei er rådgivende, kan en hacker kan udnytte fejl ved at narre brugere til at køre en skadelig app. Den fejl har en severity score på 7,3 ud af 10.
“Vellykket udnyttelse kan medføre, at hacker at afvikle skadelig kode og læse/skrive-hukommelse,” Huawei noter.
Mere om Microsoft og Windows sikkerhed
Microsoft bringer Windows-10 sikkerhed til Apple Mac-computere med Defender ATPMicrosoft angers ex-Windows-boss: Standsning af Office 365 sync på sin nye iPhone er ‘vanvittigt’Windows-10-grafik: Intel advarer om, patch 19 alvorlige driver mangler nuWindows 10 1809, 1803: Microsoft bekræfter, at nye fejl i den kumulative opdatering, Hvordan virtualisering er ved at ændre Windows-program sikkerhed TechRepublicFarvel passwords? WebAuthn er nu en officiel web standard CNET
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre