Декабрь 22, 2015 12:00 дп

Новые возможности Microsoft SmartScreen для защиты от атак drive-by

By

Технология Microsoft SmartScreen появилась еще в Internet Explorer 7 и с тех пор защищает пользователей от атак, осуществляемых с применением методов социальной инженерии, таких как фишинг и вредоносные загрузки. Сейчас эта технология интегрирована в Microsoft Edge, Internet Explorer и ОС Windows. Проверка репутации URL-адресов и защита на основе репутации приложений за последние 8 лет помогли SmartScreen предотвратить миллиарды сетевых атак. Все это время технология совершенствовалась, теперь она также предупреждает пользователей о недобросовестной рекламе и фальшивых сайтах технической поддержки.

Сегодня мы с радостью объявляем о том, что новейшие обновления Windows 10 содержат дополнительные функции для SmartScreen: защиту от атак drive-by в Microsoft Edge и Internet Explorer 11.

Что такое атаки drive-by?

Атаки drive-by (или атаки методом попутной загрузки) — это атаки через Интернет, которые, как правило, начинаются на привычных для пользователя сайтах и используют уязвимости распространенного программного обеспечения. Кроме того, эти атаки часто не требуют каких-либо действий со стороны пользователя — вам не нужно ни на что кликать и ничего загружать, заражение, как правило, происходит незаметно.

Чтобы эффективно провести атаку drive-by, злоумышленники  используют вредоносные программы, которые называются наборами эксплойтов. Сначала эти средства проверяют ваш компьютер на наличие уязвимостей ПО (которые в общедоступных источниках обозначаются как CVE), а затем пытаются использовать их для атаки. Эти уязвимости могут быть недавно обнаруженными — они называются уязвимостями «нулевого дня» — либо могут быть исправлены в популярном ПО. В уходящем году мы заметили, что наборы эксплойтов быстрее обнаруживают уязвимости в ПО, для которых уже доступны исправления. Уязвимости «нулевого дня» также используются все чаще.

drive-by

В свете этой тенденции у пользователей остается все меньше времени для обновления до безопасной версии ПО. Поэтому регулярная установка исправлений сама по себе больше не может служить надежной защитой от EK.  К счастью, корпорация Microsoft накопила большой объем данных из таких источников, как Microsoft Edge, Internet Explorer, Bing, Защитник Windows, и применяет набор средств Enhanced Mitigation Experience Toolkit (EMET), чтобы обнаруживать эти угрозы сразу после их появления и совершенствовать защиту от атак drive-by в браузере с помощью SmartScreen.

Эта совместная инициатива нескольких компаний по сбору и анализу данных не имеет аналогов, поскольку в данном случае информация об использовании браузера и инфраструктуре веб-сайтов объединяется с результатами анализа поведения пользователей, поступающими от различных компонентов ОС Windows. Это помогает нам выявлять подозрительные действия до того, как они смогут навредить пользователю, и обнаруживать новые угрозы.

Чтобы показать, как работают подобные методы, приведу конкретный пример.  В декабре прошлого года при работе над этой новой возможностью SmartScreen многочисленные источники информации Microsoft, включая Защитник Windows и набор средств EMET, зафиксировали новую серию атак через эксплойты. Эти атаки совершались через сеть вредоносных рекламных объявлений, отображаемых на популярных сайтах, и могли затронуть миллионы пользователей. Системы SmartScreen для анализа эксплойтов обнаружили угрозу, которая стала широко известна как HanJuan EK.  Подробно изучив данные, мы выяснили, что атака использовала новую уязвимость «нулевого дня» в Adobe Flash Player. Однако наши системы аналитики SmartScreen обнаружили атаку до того, как эта уязвимость была определена.  Мы отправили конфиденциальное сообщение об этой проблеме в компанию Adobe (CVE-2015-0313), после чего было разработано и опубликовано исправление.

Защита от атак drive-by, которую обеспечивает технология SmartScreen, позволяет предотвратить такие угрозы до заражения компьютера, даже если исправление еще не вышло.

Как совершенствуется защита SmartScreen?

Атаки drive-by важно обнаружить и предотвратить до того, как веб-содержимое пройдет анализ и будет отображено. Этим они отличаются от атак, проведенных методами социальной инженерии, защита от которых уже была предусмотрена в SmartScreen. Чтобы работа SmartScreen не влияла на производительность браузера, эта служба создает небольшой файл кэша и использует его для защиты от атак drive-by. Браузер периодически обновляет этот файл. Таким образом, вы остаетесь под надежной защитой, а служба SmartScreen вызывается, только если существует высокая вероятность наличия вредоносного содержимого на странице.

Если SmartScreen оценивает веб-сайт как потенциально вредоносный, вы увидите отмеченное красным цветом предупреждение, а содержимое не будет отображаться на компьютерах с Windows 10 ни в Microsoft Edge, ни в Internet Explorer 11.

smartscreen-new

Предупреждение Microsoft SmartScreen

SmartScreen также может предупреждать пользователя о подозрительных областях веб-страницы, например, о небезопасных рекламных баннерах. Ранее при обнаружении опасных областей выводилось предупреждение для всей веб-страницы, даже если сама по себе страница не представляла опасности. Теперь SmartScreen выводит предупреждения только относительно вредоносных областей, при этом с остальной частью веб-страницы вы можете взаимодействовать без проблем.

Предупреждение Microsoft SmartScreen об опасной области

Предупреждение Microsoft SmartScreen об опасной области

Получив это предупреждение, вы можете сообщить Microsoft о том, что сайт не представляет опасности. Чтобы это сделать, перейдите по ссылке Подробнее на странице с предупреждением SmartScreen. Вы также можете проигнорировать предупреждение, хотя мы настоятельно рекомендуем вам не делать этого. Для предупреждений в отдельной области доступны те же возможности, что и для всей страницы: просто кликните на значок Опасное содержимое в адресной строке.

Примечание. Все существующие параметры и средства контроля SmartScreen (включая групповые политики) распространяются и на новую функцию защиты от атак drive-by.

Могу ли я сделать что-то еще для надежной защиты?

Крайне важно устанавливать обновления безопасности как можно раньше после их выпуска: это поможет вам защититься от атак drive-by, использующих уже исправленные уязвимости популярного ПО, вашего браузера или операционной системы.

Если какой-то веб-сайт покажется вам небезопасным, вы можете сообщить об этом Microsoft несколькими способами.

  • В Microsoft Edge для Windows 10 коснитесь меню Подробнее или кликните на него, выберите Обратная связь, а затем — Сообщить о небезопасном веб-сайте.
  • Internet Explorer 11 для Windows 10 коснитесь кнопки Инструменты или кликните на нее, наведите курсор на пункт Безопасность и затем выберите Сообщить о небезопасном веб-сайте.

Мы очень довольны этими улучшениями и будем рады вашим отзывам о них. Если у вас есть вопросы, задайте их нам в Twitter, упомянув @MSEdgeDev, или в комментариях к этой записи.