Microsoft експериментира с ново значително смекчаване на защитата, за да предотврати рязкото увеличаване на кибератаките, които засягат недостатъци в общата файлова система на Windows (CLFS).

Производителят на софтуер от Редмънд, Вашингтон, планира да добави нова стъпка за проверка на анализа на CLFS лог-файловете като част от целенасочените усилия за покриване на една от най-привлекателните повърхности за атаки за APT и ransomware атаки.

През последните пет години са документирани поне 24 уязвимости в CLFS, подсистемата на Windows, използвана за регистриране на данни и събития, което подтиква екипа на Microsoft за офанзивни изследвания и инженеринг на сигурността (MORSE) да разработи смекчаваща мярка за операционната система, която да адресира наведнъж цял клас уязвимости.

Смекчаването, което скоро ще бъде включено в канала Windows Insiders Canary, ще използва кодове за удостоверяване на автентичността на съобщенията, базирани на хеш (HMAC), за откриване на неоторизирани модификации на CLFS лог-файловете, според бележка на Microsoft, описваща блокирането на експлойти.

„Вместо да продължаваме да се занимаваме с отделни проблеми в момента на откриването им, [ние] работихме по добавянето на нова стъпка за проверка на парсирането на CLFS лог-файловете, която има за цел да се справи с клас уязвимости наведнъж. Тази работа ще помогне за защитата на нашите клиенти в цялата екосистема на Windows, преди да бъдат засегнати от потенциални проблеми със сигурността“, според софтуерния инженер на Microsoft Брандън Джаксън.

Ето и пълното техническо описание на смекчаването на последиците:

„Вместо да се опитва да валидира отделни стойности в структурите от данни на логфайловете, това смекчаване на сигурността предоставя на CLFS възможността да открива кога логфайловете са били модифицирани от нещо друго, освен от самия CLFS драйвер. Това е постигнато чрез добавяне на кодове за автентификация на съобщения, базирани на хеш (HMAC), в края на файла с дневника. HMAC е специален вид хеш, който се получава чрез хеширане на входни данни (в този случай данни от логфайлове) с таен криптографски ключ. Тъй като тайният ключ е част от алгоритъма за хеширане, изчисляването на HMAC за едни и същи данни от файла с различни криптографски ключове ще доведе до различни хешове.

Точно както бихте потвърдили целостта на файл, който сте изтеглили от интернет, като проверите неговия хеш или контролна сума, CLFS може да потвърди целостта на своите логфайлове, като изчисли неговия HMAC и го сравни с HMAC, съхранен в логфайла. Докато криптографският ключ не е известен на нападателя, той няма да разполага с информацията, необходима за създаване на валиден HMAC, който CLFS ще приеме. Понастоящем само CLFS (SYSTEM) и администраторите имат достъп до този криптографски ключ.“

За да се запази ефективността, особено за големи файлове, Джаксън заяви, че Microsoft ще използва дърво на Меркъл, за да намали режийните разходи, свързани с честите изчисления на HMAC, необходими при всяка промяна на регистрационен файл.