Jednym ze sposobów zaatakowania coraz bardziej rozpowszechnionego komputera z systemem Windows jest wykorzystanie luk w sterowniku czcionek systemu Windows poprzez pobranie i uruchomienie specjalnie spreparowanego pliku czcionek przez użytkownika. Aby przeprowadzić taki atak, wystarczy, aby atakujący zmusił użytkownika do otwarcia specjalnie zaprojektowanego dokumentu, strony internetowej lub uruchomienia specjalnej aplikacji (samo w sobie bezpiecznej), która pobiera czcionkę ze złośliwym kodem z zewnętrznego źródła. Windows 10 ma wbudowaną funkcję zabrania pobierania i wykonywania czcionek „stron trzecich”, tj. te, które nie są zainstalowane w systemie i nie znajdują się w katalogu% WINDIR% \ Fonts.
Aby kontrolować ładowanie czcionek innych firm w systemie Windows 10, pojawiło się osobne ustawienie zasad grupy, które znajduje się w sekcji konsoli gpedit.msc: Konfiguracja komputera -> Szablony administracyjne -> System -> Opcje łagodzenia . Parametr nazywa się Niezaufane blokowanie czcionek. Istnieją 3 tryby działania dla tej zasady:
- Blokuj niezaufane czcionki i rejestruj zdarzenia - całkowicie zabrania aplikacjom pobierania czcionek innych firm z dowolnego folderu oprócz% windir% Czcionek i zapisywania wszystkich informacji w dzienniku
- Nie blokuj niezaufanych czcionek - czcionki innych firm nie są blokowane (wartość domyślna)
- Rejestruj zdarzenia bez blokowania niezaufanych czcionek - tak zwany tryb audytu, gdy pobieranie i instalowanie czcionek stron trzecich nie jest blokowane, ale informacje o czcionce i zainstalowanej aplikacji są zapisywane w dzienniku
W domowych wersjach systemu Windows 10 Home (w których nie ma edytora zasad grupy) zarządzanie tą funkcją ochronną jest możliwe tylko poprzez rejestr. Aby to zrobić, w gałęzi rejestru HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ trzeba utworzyć parametr typu QWORD (64-bitowy) z imieniem MitigationOptions. Parametr musi być ustawiony na jedną z następujących wartości:
- Włączono blokadę czcionek - 1000000000000
- Rozłączony - 2000000000000
- Tryb audytu - 3000000000000
Po wprowadzeniu zmian musisz ponownie uruchomić system.
Jeśli chcesz, aby zasada ograniczeń pobierania czcionek nie wpływała na określoną aplikację, możesz dodać ją do wyjątków. Na przykład, aby program Outlook poprawnie wyświetlał litery z osadzonymi czcionkami, musisz to zrobić w gałęzi rejestru HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options utwórz podklucz z nazwą pliku wykonywalnego aplikacji. W naszym przypadku tak będzie outlook.exe.
Po włączeniu zasad inspekcji wszystkie powiązane zdarzenia są umieszczane w sekcji dziennika systemowego aplikacji Aplikacja-> Dzienniki usług -> Microsoft -> Windows -> Win32k -> Operacyjne. Jesteśmy zainteresowani wydarzeniami z EventID 260
Funkcją blokowania czcionek innych firm można również sterować za pośrednictwem Microsoft EMET 5.5. Aby to zrobić, włącz opcję w interfejsie EMET Blokuj niezaufane czcionki.
