Microsoft експериментує з новою мірою безпеки, щоб запобігти кібератакам, які використовують вразливості в системі журналів Windows (CLFS).
Як повідомляє Security Week, компанія планує додати новий етап перевірки під час обробки файлів журналів CLFS як частину зусиль щодо захисту однієї з найпривабливіших поверхонь для атак з боку APT-груп і програм-вимагачів.
За останні 5 років було задокументовано щонайменше 24 вразливості у CLFS — підсистемі Windows, яка використовується для реєстрації даних і подій. Це спонукало команду Microsoft Offensive Research & Security Engineering (MORSE) розробити механізм захисту операційної системи, щоб вирішити весь клас вразливостей одночасно.
Нова міра безпеки, яка незабаром з’явиться у каналі Windows Insiders Canary, використовуватиме HMAC (хеш-код на основі алгоритму автентифікації повідомлень) для виявлення несанкціонованих змін у файлах журналів CLFS. Про це йдеться у примітці Microsoft, в якій описано новий механізм.
«Замість того, щоб вирішувати окремі проблеми по мірі їх виявлення, ми додали новий етап перевірки під час обробки файлів журналів CLFS. Це дасть змогу захистити наших користувачів у всій екосистемі Windows від можливих проблем безпеки», — зазначив інженер корпорації Брендон Джексон.
Технічний опис пом’якшення
Замість того, щоб намагатися перевірити окремі значення у структурах даних файлу журналу, це пом’якшення безпеки надає CLFS можливість виявляти, коли файли журналу були змінені будь-чим, окрім самого драйвера CLFS. Це було досягнуто шляхом додавання кодів автентифікації повідомлень на основі хешу (HMAC) у кінець журналу.
HMAC — це особливий вид хешу, який створюється хешуванням вхідних даних (у цьому випадку даних журналу) із секретним криптографічним ключем. Оскільки секретний ключ є частиною алгоритму хешування, то обчислення HMAC для однакових даних файлу з різними криптографічними ключами призведе до різних хешів.
Подібно до того, як ви перевіряєте цілісність файлу, який ви завантажили з Інтернету, перевіряючи його хеш або контрольну суму, CLFS може перевіряти цілісність своїх файлів журналу, обчислюючи його HMAC і порівнюючи його з HMAC, що зберігається у файлі журналу.
Поки криптографічний ключ невідомий зловмиснику, він не матиме інформації, необхідної для створення дійсного HMAC, який прийме CLFS. Наразі лише CLFS (SYSTEM) та адміністратори мають доступ до цього криптографічного ключа.
Щоб підтримувати ефективність, особливо для великих файлів, Microsoft використовуватиме дерево Merkle, щоб зменшити накладні витрати, пов’язані з частими обчисленнями HMAC. Вони потрібні щоразу, коли файл журналу змінюється.
Нещодавно ми повідомляли, що останнє щомісячне оновлення безпеки Microsoft сіє хаос у системах Windows і Linux із подвійним завантаженням.
Компанія випустила патч безпеки, щоб усунути вразливість дворічної давності у завантажувачі з відкритим кодом GRUB, який використовується багатьма пристроями Linux.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!