Az elterjedtebb Windows gépek támadásának egyik módja a Windows betűtípus-illesztőprogram sérülékenységeinek kihasználása egy speciálisan kialakított betűkészlet-fájl letöltésével és a felhasználó által végrehajtott végrehajtásával. Az ilyen támadás végrehajtásához a támadónak csak arra kell kényszerítenie a felhasználót, hogy nyisson meg egy speciálisan létrehozott dokumentumot, weboldalt vagy futtasson egy speciális alkalmazást (önmagában biztonságos), amely rosszindulatú kódú betűtípust tölt le egy külső forrásból. A Windows 10 beépített funkcióval rendelkezik nem tilthatják meg a "harmadik féltől származó betűtípusok letöltését és végrehajtását", azaz azokat, amelyeket nem telepítettek a rendszerbe, és nem találhatóak a% WINDIR% \ Fonts könyvtárban.
A harmadik fél betűkészleteinek betöltése a Windows 10 rendszerben különálló csoportházirend-beállítást jelenített meg, amely a konzol szakaszban található gpedit.msc: Számítógép konfigurációja -> Felügyeleti sablonok -> Rendszer -> Csökkentési lehetőségek . A paraméter hívása Nem megbízható betűkészlet-blokkolás. Ennek a házirendnek 3 működési módja van:
- Blokkolja a nem megbízható betűtípusokat és a napló eseményeket - teljesen tiltja az alkalmazásokat, hogy harmadik fél betűkészleteit töltsék le bármely mappából, kivéve a% windir% betűkészleteket, és minden információt a naplóba írjanak
- Ne blokkolja a nem megbízható betűkészleteket - harmadik fél betűkészletei nem vannak blokkolva (alapértelmezett érték)
- Naplózza az eseményeket a nem megbízható betűtípusok blokkolása nélkül - az úgynevezett ellenőrzési mód, ha harmadik féltől származó betűkészleteket tölt le és telepít, akkor nem blokkolja, de a betűkészlettel és a telepítővel kapcsolatos információkat a napló rögzíti
A Windows 10 Home otthoni verzióiban (amelyben nincs csoportházirend-szerkesztő) ezt a védelmi funkciót csak a rendszerleíró adatbázis segítségével lehet kezelni. Ehhez a nyilvántartási ágban HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \ létre kell hoznia egy típusparamétert QWORD (64 bites) a névvel MitigationOptions. A paramétert a következő értékek egyikére kell állítani:
- A betűkészlet zárolva van - 1000000000000
- mozgássérült - 2000000000000
- Audit mód - 3000000000000
A módosítások elvégzése után újra kell indítania a rendszert.
Ha azt akarja megakadályozni, hogy a betűtípus letöltés korlátozására vonatkozó irányelv befolyásolja egy adott alkalmazást, felveheti azt a kivételek közé. Például ahhoz, hogy az Outlook helyesen jelenítsen meg betűket beágyazott betűkészletekkel, be kell lépnie a rendszerleíró adatbázisban HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options hozzon létre egy alkulcsot az futtatható alkalmazás nevével. A mi esetünkben lesz outlook.exe.
Ha engedélyezi az ellenőrzési házirendet, az összes kapcsolódó esemény megtalálható az alkalmazás rendszernapló szakaszában Alkalmazás-> Szolgáltatási naplók -> Microsoft -> Windows -> Win32k -> Működő. Érdekelnek az események a EventID 260
A harmadik fél betűkészleteinek blokkolása a következővel is vezérelhető Microsoft EMET 5.5. Ehhez engedélyezze az opciót az EMET felületen A nem megbízható betűtípusok blokkolása.
