Intel Windows 10 användare: Du har fläckar för 19 allvarliga brister, använd dem!
Uppdatering Intel Windows grafik drivrutiner, och stoppa med hjälp av Intel Matrix Storage Manager och USB 3.0-Skaparen Verktyg.
Som en del av sina ansträngningar att skydda Windows-10 från och med nästa WannaCry, säkerhet forskare på Microsoft har upptäckt en buggy Huawei verktyg som skulle kunna ha gett angriparna ett billigt sätt att undergräva säkerheten i Windows-kärnan.
Microsoft har nu närmare hur det finns en allvarlig lokal utökning av privilegier fel i Huawei PCManager drivrutinen för sin MateBook raden av Windows 10 bärbara datorer. Tack vare Microsofts arbete, den Kinesiska tech jätten lappat fel i januari.
Som Microsoft forskare förklara, tredje part kärnan förarna blir mer attraktiv för angripare som en sida-dörr med att attackera kärnan utan att behöva övervinna sitt skydd med en dyr zero-day-kärnan säkerhetshål i Windows.
Felet med Huawei ‘ s programvara har upptäckts av nya kärnan sensorer som genomfördes i Windows-10 oktober 2018 Uppdatering, aka version 1809.
Sensorerna är en del av Microsofts svar på WannaCry malware utbrott av 2017, vilket orsakade förödelse i den BRITTISKA National Health Service och infekterade ca 200 000 Windows-Datorer runt om i världen. Det skadliga programmet var hänföras till nordkoreanska hackare.
Specifikt, sensorerna är konstruerade för att fånga skadlig kod som DoublePulsar, en bakdörr implantat som skapats av AMERIKANSKA National Security Agency hackare som läckte Skuggan Mäklare i början av 2017. DoublePulsar körs i kernel-läge och var fordonet för att leverera WannaCry, kopiera malware från kärnan till user-space.
Kärnan sensorer är avsedda att hantera de svårigheter för att upptäcka skadlig kod som körs i kärnan och är utformad för att upptäcka user-space asynkron procedure call (APC) kod injektion från kärnan.
Microsoft Defender ATP anti-malware använder dessa sensorer för att upptäcka åtgärder som orsakas av kärnan kod som kan injicera kod i user-mode.
Huaweis PCManager utlöste Försvarare ATP-varningar på flera Windows-10 enheter, vilket föranledde Microsoft för att inleda en utredning.
“Jakt ledde oss till kärnan koden som utlöste larmet. Man skulle förvänta sig att en programvara för enhetshantering skulle utföra mestadels hårdvara-relaterade uppgifter, med den medföljande drivrutiner som meddelande lager med OEM-specifik hårdvara, säger Amit Rapaport, forskare på Microsoft Defender ATP-team.
“Så varför har föraren uppvisar ovanligt beteende? För att besvara denna fråga, vi bakåtkompilerade HwOs2Ec10x64.sys.”
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Utredningen ledde forskaren till den körbara MateBookService.exe. På grund av ett fel i Huaweis ‘watchdog’ mekanism för HwOs2Ec10x64.sys en angripare kan skapa en skadlig instans av MateBookService.exe för att få utökade privilegier.
Felet kan användas för att göra kod som körs med låg privilegier läsa och skriva till andra processer eller kernel space, leder till en “full maskin kompromiss”. Microsoft används ‘holkar’, ett populärt knep som används av skaparna av skadlig kod, för att visa svaghet.
“En angripare-kontrollerad instans av MateBookService.exe kommer fortfarande att ha tillgång till enheten \.HwOs2EcX64 och att kunna ringa några av sina IRP fungerar. Sedan angriparen-kontrollerad process kan missbruka denna möjlighet att prata med enheten att registrera såg en verkställare av sina egna val, säger Rapaport.
“Med tanke på det faktum att en förälder processen har fullständiga behörigheter över sina barn, även en kod med låg privilegier kan leka en infekterad MateBookService.exe och injicera kod i det.”
Enligt Huawei är rådgivande, en angripare kan utnyttja denna svaghet genom att lura användare att köra en skadlig app. Felet har en svårighetsgrad betyg 7.3 av 10 möjliga.
“En framgångsrik användning kan orsaka det möjligt för angripare att köra skadlig kod och läs/skriv-minne,” Huawei anteckningar.
Mer om Microsoft och Windows säkerhet
Microsoft ger Windows 10 säkerhet att Apple Mac-datorer med Försvarare ATPMicrosoft angers ex-Windows-chef: Stoppa Office 365 synk på sin nya iPhone är “crazy”Windows 10 grafik: Intel varnar patch 19 svår föraren brister nuWindows 10 1809, 1803: Microsoft bekräftar ny bugg i den kumulativa uppdateringenHur virtualisering är att ändra Windows-program säkerhet TechRepublicAdjö lösenord? WebAuthn är nu en officiell web standard CNET
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter