Microsoft експериментира с ново значително смекчаване на защитата, за да предотврати рязкото увеличаване на кибератаките, които засягат недостатъци в общата файлова система на Windows (CLFS).
Производителят на софтуер от Редмънд, Вашингтон, планира да добави нова стъпка за проверка на анализа на CLFS лог-файловете като част от целенасочените усилия за покриване на една от най-привлекателните повърхности за атаки за APT и ransomware атаки.
През последните пет години са документирани поне 24 уязвимости в CLFS, подсистемата на Windows, използвана за регистриране на данни и събития, което подтиква екипа на Microsoft за офанзивни изследвания и инженеринг на сигурността (MORSE) да разработи смекчаваща мярка за операционната система, която да адресира наведнъж цял клас уязвимости.
Смекчаването, което скоро ще бъде включено в канала Windows Insiders Canary, ще използва кодове за удостоверяване на автентичността на съобщенията, базирани на хеш (HMAC), за откриване на неоторизирани модификации на CLFS лог-файловете, според бележка на Microsoft, описваща блокирането на експлойти.
„Вместо да продължаваме да се занимаваме с отделни проблеми в момента на откриването им, [ние] работихме по добавянето на нова стъпка за проверка на парсирането на CLFS лог-файловете, която има за цел да се справи с клас уязвимости наведнъж. Тази работа ще помогне за защитата на нашите клиенти в цялата екосистема на Windows, преди да бъдат засегнати от потенциални проблеми със сигурността“, според софтуерния инженер на Microsoft Брандън Джаксън.
Ето и пълното техническо описание на смекчаването на последиците:
„Вместо да се опитва да валидира отделни стойности в структурите от данни на логфайловете, това смекчаване на сигурността предоставя на CLFS възможността да открива кога логфайловете са били модифицирани от нещо друго, освен от самия CLFS драйвер. Това е постигнато чрез добавяне на кодове за автентификация на съобщения, базирани на хеш (HMAC), в края на файла с дневника. HMAC е специален вид хеш, който се получава чрез хеширане на входни данни (в този случай данни от логфайлове) с таен криптографски ключ. Тъй като тайният ключ е част от алгоритъма за хеширане, изчисляването на HMAC за едни и същи данни от файла с различни криптографски ключове ще доведе до различни хешове.
Точно както бихте потвърдили целостта на файл, който сте изтеглили от интернет, като проверите неговия хеш или контролна сума, CLFS може да потвърди целостта на своите логфайлове, като изчисли неговия HMAC и го сравни с HMAC, съхранен в логфайла. Докато криптографският ключ не е известен на нападателя, той няма да разполага с информацията, необходима за създаване на валиден HMAC, който CLFS ще приеме. Понастоящем само CLFS (SYSTEM) и администраторите имат достъп до този криптографски ключ.“
За да се запази ефективността, особено за големи файлове, Джаксън заяви, че Microsoft ще използва дърво на Меркъл, за да намали режийните разходи, свързани с честите изчисления на HMAC, необходими при всяка промяна на регистрационен файл.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.