Търсене
Close this search box.

Microsoft експериментира с ново значително смекчаване на защитата, за да предотврати рязкото увеличаване на кибератаките, които засягат недостатъци в общата файлова система на Windows (CLFS).

Производителят на софтуер от Редмънд, Вашингтон, планира да добави нова стъпка за проверка на анализа на CLFS лог-файловете като част от целенасочените усилия за покриване на една от най-привлекателните повърхности за атаки за APT и ransomware атаки.

През последните пет години са документирани поне 24 уязвимости в CLFS, подсистемата на Windows, използвана за регистриране на данни и събития, което подтиква екипа на Microsoft за офанзивни изследвания и инженеринг на сигурността (MORSE) да разработи смекчаваща мярка за операционната система, която да адресира наведнъж цял клас уязвимости.

Смекчаването, което скоро ще бъде включено в канала Windows Insiders Canary, ще използва кодове за удостоверяване на автентичността на съобщенията, базирани на хеш (HMAC), за откриване на неоторизирани модификации на CLFS лог-файловете, според бележка на Microsoft, описваща блокирането на експлойти.

„Вместо да продължаваме да се занимаваме с отделни проблеми в момента на откриването им, [ние] работихме по добавянето на нова стъпка за проверка на парсирането на CLFS лог-файловете, която има за цел да се справи с клас уязвимости наведнъж. Тази работа ще помогне за защитата на нашите клиенти в цялата екосистема на Windows, преди да бъдат засегнати от потенциални проблеми със сигурността“, според софтуерния инженер на Microsoft Брандън Джаксън.

Ето и пълното техническо описание на смекчаването на последиците:

„Вместо да се опитва да валидира отделни стойности в структурите от данни на логфайловете, това смекчаване на сигурността предоставя на CLFS възможността да открива кога логфайловете са били модифицирани от нещо друго, освен от самия CLFS драйвер. Това е постигнато чрез добавяне на кодове за автентификация на съобщения, базирани на хеш (HMAC), в края на файла с дневника. HMAC е специален вид хеш, който се получава чрез хеширане на входни данни (в този случай данни от логфайлове) с таен криптографски ключ. Тъй като тайният ключ е част от алгоритъма за хеширане, изчисляването на HMAC за едни и същи данни от файла с различни криптографски ключове ще доведе до различни хешове.

Точно както бихте потвърдили целостта на файл, който сте изтеглили от интернет, като проверите неговия хеш или контролна сума, CLFS може да потвърди целостта на своите логфайлове, като изчисли неговия HMAC и го сравни с HMAC, съхранен в логфайла. Докато криптографският ключ не е известен на нападателя, той няма да разполага с информацията, необходима за създаване на валиден HMAC, който CLFS ще приеме. Понастоящем само CLFS (SYSTEM) и администраторите имат достъп до този криптографски ключ.“

За да се запази ефективността, особено за големи файлове, Джаксън заяви, че Microsoft ще използва дърво на Меркъл, за да намали режийните разходи, свързани с честите изчисления на HMAC, необходими при всяка промяна на регистрационен файл.

 

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
17 септември 2024

Група за рансъмуер публикува данни, за които се...

Групата за рансъмуер RansomHub е публикувала 487 гигабайта данни, з...
Бъдете социални
Още по темата
16/09/2024

Уязвимостта на Windows злоу...

Неотдавна поправената уязвимост „Windows MSHTML spoofing...
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
13/09/2024

След CrowdStrike: Microsoft...

Microsoft планира да преработи начина, по...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!