Windows 10 z nową technologią ochrony pamięci jądra

Hakerzy, skonfrontowani z technologiami chroniącymi pamięć, takimi jak Code Integrity (CI) czy Control Flow Guard (CFG), kierują się w stronę danych. W nieustającej walce z nimi Microsoft zagrał nową kartą i wprowadził technologię Kernel Data Protection (KDP), która uniemożliwia ataki z wykorzystaniem technik uszkodzenia danych, by obchodzić zabezpieczenia i podnosić uprawnienia.

Kernel Data Protection (KDP) zabezpiecza części jądra (kernela) Windows i sterowników poprzez ochronę opartą na wirtualizacji (VBS). KDP jest zestawem API, które dają możliwość oznaczenia części pamięci kernela jako tylko-do-odczytu, co uniemożliwia hakerom modyfikowanie chronionej pamięci. Przykładowo w atakach używane bywały podpisane, lecz podatne sterowniki, które atakowały struktury danych zasad i instalowały złośliwy, niepodpisany sterownik. KDP zabezpiecza przed takimi atakami poprzez zapewnienie, że struktury danych zasad nie mogą być naruszone.

Koncepcja ochrony pamięci jądra z atrybutem tylko-do-odczytu bierze pod uwagę istotne dla jądra Windows aplikacje, w tym składniki skrzynki odbiorczej, produkty bezpieczeństwa, a nawet sterowniki innych firm, w tym oprogramowanie DRM i anti-cheatowe. Oprócz podniesienia bezpieczeństwa i ochrony przed manipulacją KDP zapewnia inne korzyści, takie jak:

• Poprawa wydajności: KDP zmniejsza obciążenie komponentów zaświadczeń, które nie będą musiały już cyklicznie weryfikować zmiennych danych, które zostały zabezpieczone przed zapisem.
• Poprawa niezawodności: KDP ułatwia diagnozowanie błędów związanych z uszkodzeniem pamięci, które niekoniecznie są lukami w zabezpieczeniach.
• Poprawa wdrażania: Zachęcanie twórców sterowników i sprzedawców do zachowania zgodności z zabezpieczeniami opartymi na wirtualizacji.

Źródło: Centrumxp.pl