Microsoft затруднила вредоносам повышение прав в Windows 11 24H2

Microsoft затруднила вредоносам повышение прав в Windows 11 24H2

Microsoft затруднила вредоносам повышение прав в Windows 11 24H2

Microsoft анонсировала изменения в механизмах безопасности, которые появятся в Windows 11 24H2. Наиболее важным из них являются средства, предотвращающие использование багов повышения прав, которые часто применяют злоумышленники в ходе кибератак.

Задачи, которые требуют более высоких системных привилегий, могут проводиться с помощью одноразовых токенов.

«Если для проведения той или иной операции, например установки приложений, требуются права администратора, пользователю предлагается безопасно авторизовать изменение с помощью Windows Hello. Windows создает временный изолированный токен администратора для выполнения работы. Этот временный токен немедленно уничтожается по завершении задачи, гарантируя, что права администратора не сохранятся», — отметил Дэвид Уэстон, вице-президент Microsoft по корпоративным технологиям и безопасности Windows.

«Защита администратора помогает гарантировать, что пользователи, а не вредоносные программы или злоумышленники сохраняют контроль над системой. У хакеров больше не будет автоматического прямого доступа к ядру или другим критически важным системам безопасности без специальной авторизации Windows Hello».

При этом Windows Hello будет усилена технологиями ключей доступа – системой многофакторной аутентификации в одно касание (FIDO) без паролей. Ее применение практически гарантирует от неавторизованного доступа к ресурсам, которые защищены с помощью этой технологии, причем ее применение создает для пользователя минимум неудобств.

Раньше источником многих проблем с безопасностью была подсистема печати, которая обладает высоким уровнем привилегий. Разработчики драйверов принтеров игнорировали часть требований к безопасности. В итоге ее активно использовали злоумышленники. По оценке специалиста Microsoft Джонатана Нормана, 9% от всех инцидентов связаны с попытками использования подсистемы печати Windows в злонамеренных целях.

Кроме того, в Windows 11 24H2 обещают расширить функциональность шифрования личных данных. При включении соответствующей опции, будут зашифрованы все документы, находящиеся в каталогах Рабочий стол, Документы и Изображения, в результате чего доступ к ним может получить только их владелец.

Microsoft также начинает постепенную замену подсистемы печати в пользу Windows Protected Print Mode (режима защищенной печати Windows). Пока его поддерживают только устройства, сертифицированные Mopria.

Хотпатчинг в Windows 11 24H2 позволяет обновлять процессы, уже загруженные в оперативную память. Это сократит количество перезагрузок в ходе обновлений.

Более того, администраторы получат больше возможностей ограничить запуск ненадёжных приложений с помощью политик Smart App Control и App Control для бизнеса. При этом в перечень доверенных можно добавлять приложения, неизвестные Microsoft, в том числе самописные. Также предусмотрена возможность защиты конфигурации системы от изменений и возможность автоматически вернуть предпочтительную.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В BI.ZONE CPT добавили метрика EPSS для приоритизации уязвимостей

Согласно исследованию Threat Zone 2025, около 13% атак на организации в России и СНГ начинаются с эксплуатации уязвимостей в общедоступных приложениях. Однако, по данным BI.ZONE Threat Intelligence, в реальных атаках используется менее 1% всех известных брешей.

Теперь в BI.ZONE CPT добавили метрику EPSS для приоритизации уязвимостей. С ее помощью организации смогут определять наиболее опасные для них уязвимости, которые нужно устранять в первую очередь.

Традиционно уровень серьёзности уязвимости оценивают по метрике CVSS, но она показывает лишь техническую «тяжесть» проблемы, не отражая, насколько активно ей пользуются злоумышленники.

Для этого существует дополнительная метрика — EPSS (Exploit Prediction Scoring System). Она помогает понять, как велика вероятность того, что уязвимость будет эксплуатироваться в ближайшие 30 дней.

По словам руководителя направления анализа защищённости BI.ZONE Павла Загуменнова, высокий балл CVSS не всегда означает высокий риск. Некоторые уязвимости с формально «критическим» уровнем опасности сложно использовать на практике — они требуют специфических условий или глубоких знаний. Поэтому атакующие чаще выбирают простые и массово эксплуатируемые уязвимости.

EPSS строится на основе алгоритмов машинного обучения и учитывает множество факторов:

  • производителя и тип ПО, где обнаружена уязвимость;
  • наличие эксплойтов и PoC;
  • включение в список Known Exploited Vulnerabilities (KEV);
  • наличие детектов в популярных инструментах безопасности.

Как использовать EPSS на практике:

BI.ZONE предлагает ориентироваться на следующие уровни риска:

  • EPSS ниже 0,3 — низкий приоритет, вероятность эксплуатации мала;
  • EPSS 0,3–0,7 — средний риск, стоит запланировать устранение;
  • EPSS выше 0,7 — высокий риск, уязвимость нужно закрыть в первую очередь.

Ранее специалисты также отмечали, что злоумышленники всё чаще покупают эксплойты на теневых форумах. Например, участники кластера Paper Werewolf использовали уязвимость в архиваторе WinRAR, эксплойт для которой, по данным экспертов, стоил около 80 тысяч долларов.

В итоге ключевой вывод исследования прост: не все критические уязвимости одинаково опасны, и приоритизация по EPSS помогает сосредоточиться именно на тех, которые реальны для атаки — здесь и сейчас.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru