Новости про Microsoft и безопасность

Кроме того, интернет гигант недавно повысил выплаты по программе Bounty (в основном сосредоточенной на Android) до 200 тысяч долларов США. И чтобы привлечь разработчиков и безопасников к себе, в Microsoft также решила поднять ставки.

Обновив программу Windows Bounty Program, компания Microsoft пытается повышенными выплатами привлечь технологически подкованных пользователей к проблемам безопасности. Эта программа расширяется на все функции Windows Insider Preview, и в дополнение фокусируется на таких областях, как Hyper-V, Mitigation bypass, Windows Defender Application Guard и Microsoft Edge.

Сумма вознаграждения начинается от 500 долларов и доходит до 250 000 долларов.

Как сообщила компания в своём блоге, изменение коснётся Windows Defender Advanced Threat Protection (ATP), корпоративной службы Windows 10, которая выявляет первые признаки инфицирования. Директор Windows Enterprise Роб Леффертс сообщил, что после обновления системы будут использоваться данные из облачных сервисов Microsoft, с помощью которых будет создан антивирус на искусственном интеллекте. Этот подход позволит ATP лучше предотвращать возможные заражения.

Одной из главных возможностей искусственного интеллекта станет возможность постоянно выявлять ранее неизвестный вредоносный код на компьютере. После его обнаружения Microsoft быстро изолирует зловреда в облаке и создаст сигнатуры для его быстрой идентификации антивирусом. По словам Леффертса, порядка 96% кибератак осуществляются с использованием нового вредоносного кода, так что анонсированная функция выглядит многообещающе. По сути, она изменит подход обновления Редмондом средств защиты. Сейчас у разработчиков уходят часы на анализ кода, и пока специалисты создают сигнатуры, инфекция уже может распространиться на несколько машин.

Несмотря на то, что новые функции ATP будут изначально доступны лишь для предприятий, сообщается, что Microsoft имеет планы по выпуску технологии для обычных пользователей, более того, компания также планирует предложить её «большему количество платформ за пределами Windows».

В Рэдмонде заключили соглашение с фирмой FireEye, занимающейся вопросами безопасности, чтобы та изучала данные телеметрии Windows 10.

Компания получит телеметрию в обмен на технологию предотвращения угроз iSIGHT, которая будет включена в Windows Defender Advanced Threat Protection (WDATP). От данного соглашения могут выиграть корпоративные пользователи, которые смогут повысить уровень своей безопасности благодаря внедрению WDATP.

Данные телеметрии собирают техническую информацию об устройстве с Windows 10, а также сведения о том, как работает ПО. Иногда также включаются и персональные данные.

В Рэдмонде заявляют, что соглашение включает только часть  собираемых данных, которые «обобщены и анонимизированы». В Microsoft отметили, что сутью взаимной сделки является лицензирование технологии FireEye iSIGHT, которая анализирует прошлые угрозы и повышает безопасность Windows.

Если же вы обеспокоены вопросом безопасности в Windows 10, то вы можете изменить настройки телеметрии, перейдя в Настройки – Приватность – Обратная связь и диагностика.

Ошибка может быть использована для обхода песочницы безопасности в системах Windows32K. Рассказывая о проблеме в блоге, Google отмечает, что сообщила Microsoft об ошибке в Windows 10 дней назад, но компания ничего не предприняла в ответ.

«После семи дней, согласно нашей политике для активно используемых критических уязвимостей, сегодня мы раскрываем существование критической уязвимости в Windows, по которой не выпущено пояснение или исправление», — говорится в блоге Google. «Эта уязвимость достаточно серьёзна, поскольку нам известно о её активном использовании».

В Рэдмонде не сильно обрадовались этой публикации: «Мы убеждены в координированном раскрытии уязвимостей, и сегодняшнее раскрытие от Google может подвергнуть клиентов потенциальному риску». При этом, когда же фирма будет исправлять уязвимость, она не сообщила. Вероятно, это произойдёт 8 ноября.

Компания Google сообщила, что уже исправила эту уязвимость для пользователей браузера Chrome, а Adobe отчитался об исправлении в обновлении Flash на прошлой неделе.

Сразу после публикации Microsoft сообщила о фишинговой атаке на пользователей Windows, в которой использовалась опубликованная уязвимость. Организацию атаки в Рэдмонде приписывают российской хакерской группировке Fancy Bear.

Ранее, при подготовке Windows 10, компания уже заявляла о своих планах по прекращению поддержки неподписанных драйверов, однако не смогла этого сделать в связи с техническими проблемами и ограничениями экосистемы. С выпуском годового обновления ситуация изменилась, и теперь драйверы ядра должны иметь цифровую подпись, или они не будут больше загружены.

Данное изменение нацелено на повышение уровня безопасности, оно снижает риск повреждения системы вредоносными драйверами, однако оно резко сужает возможности энтузиастов ПК по управлению своими машинами, а также не позволяет использовать редкое и устаревшее оборудование.

Однако не всё так плохо. Изменения коснутся лишь свежеустановленных системы. Те же системы, которые обновились с предыдущих версий до Windows 10, а также системы с установленным обновлением Anniversary Update, смогут по-прежнему использовать драйверы без цифровой подписи.

Один из пользователей Twitter с ником WalkingCat нашёл приложение под названием «phone sign-in beta». Оказывается, что обновлённое приложение позволит пользователям компьютеров с Windows 10 разблокировать свои машины посредством Bluetooth, просто нажав на название машины в списке.

Как известно, в новой ОС компания Microsoft уже разработала несколько альтернативных способов авторизации, самым интересным из которых стала Windows Hello, осуществляющая вход в систему посредством отпечатков пальцев или по снимку. Новое же приложение проходит внутреннее бета тестирование, и, похоже, что оно будет доступно только на устройствах Windows 10 Mobile. Сейчас компания не предлагает свои средства авторизации для iOS или Android, так что вряд ли ситуация изменится и в будущем.

Однако не всё так гладко. Исследователь Ашиш Сингх установил, что при работе обозревателя в режиме InPrivate на жёстком диске сохраняется вся история посещений, таким образом «даже приватный браузинг не настолько приватный, как выглядит», — отметил он в своём отчёте в Forensic Focus. Он добавил: «вебсайты, посещённые в приватном режиме, также сохраняются в файле WebCache браузера».

Таким образом, вся история посещений остаётся открытой для атакующих, позволяя им получить доступ, определив таблицу Container_n внутри базы данных истории браузера. Наши коллеги из The Verge смогли частично подтвердить эту информацию, правда, полностью историю посещений в приватной сессии они получить не смогли. Они отметили, что опытный профессионал сможет получить больший доступ.

Представитель Microsoft сообщил сайту The Verge, что компания «недавно была предупреждена об отчёте, утверждающему, что вкладки InPrivate не работают как задумано», но добавил, что компания «заинтересована в разрешении этого максимально быстро».

Такой тип уязвимости возникает при совмещении вредоносного ПО с рекламируемым продуктом. В результате часть данных, передаваемых от пользователя оператору, попадает в третьи руки. По данным компании из Рэдмонда, данное внедряемое ПО, ставящее под угрозу важные данные пользователя, эволюционирует, и определённая часть вредоносного ПО, работающего в браузере, может выполнить такую атаку.

В компании отмечают, что наиболее совершенные образцы зловредов могут обойти предупреждения браузеров либо изменить настройки приватности, что приводит к тому, что пользователи не видят ничего необычного. Чтобы остановить дальнейшее продвижение таких угроз Microsoft введёт обязательное требование для разработчиков в части соблюдения новой рекламной политики.

Эта политика гласит, что программы, создающие рекламу в браузерах должны использовать исключительно поддерживаемую браузером модель расширений для установки, исполнения, отключения и удаления. Активно отслеживать такие приложения компания начнёт с 31 марта этого года, и если приложение не будет соответствовать политике рекламы, оно будет удалено.

Ранее в Рэдмонде уже говорили, что заблокируют сертификаты безопасности, подписанные с использованием SHA-1 с 1 января 2017 года, однако теперь эта дата смещается на июнь.

С этим алгоритмом безопасности имеются проблемы. Исследователи доказали, что поддельный сертификат цифровой подписи может иметь тот же SHA-1 хэш, что и легальный. После подтверждения безопасности поддельным сертификатом пользователи могут передать свою персональную информацию на подставной сайт.

Программный менеджер Microsoft Кайл Пфлуг написал в своём блоге, что Рэдмонд будет координировать свои работы с разработчиками браузеров, чтобы изучить влияние этого процесса на основе данных телеметрии. Что касается Mozilla, то на фоне недавних атак фирма решила прекратить приём сертификатов SHA-1 SSL с июля 2016 года.

Несмотря на то, что это возможно в корпоративной редакции ОС, потребительские версии не получат такой возможности. Софтверный гигант аргументировал своё решение общим увеличением производительности Windows 10.

Когда пользователи впервые открывают для себя, что Windows 10 отсылает данные в Microsoft, многие не удивляются этому. Функции, подобные Cortana, требуют сбора данных, и некоторые надеялись, что сбор данных может быть выключен. Теперь же появилось подтверждение о том, что Windows 10, вероятно, не станет отключать сбор всех данных.

Белфиор отметил: «В случае знания того, что наша операционная система, которую мы создали, столкнётся со сбоем, или будет испытывать серьезные проблемы с производительностью, мы считаем это [сбор данных] крайне полезным для экосистемы и это не является угрозой персональной безопасности, ведь сегодня мы собираем такие данные, какие позволят нам сделать работу с системой лучше для всех. И в этих случаях мы не даём выбора, мы чувствуем, что мы делаем это на благо здоровья системы, и мы не используем никакой личной информации или информации, связанной с приватностью».