Webブラウザの新しいバージョンでは、「 Windows PPAPIプラグインに閉じたWin32k環境を使用する 」という特別な設定が追加され、特別な制御の対象となるプラグインを指定できるようになりました 。 これは主に、Flash PlayerおよびPDF Readerのプラグインに関するものであり、これらのエクスプロイトは珍しくありません。 設定を使用すると、これらのプレーヤーが起動されるコンテキストでのサンドボックス化されたChromeプロセスに対して、win32k.sysの使用の禁止が有効になります。
設定は、ChromeのChromeフラグタブで確認できます:// flags /#enable-ppapi-win32k-lockdown。 最初はデフォルト値に設定されています。これは、起動されたすべてのサンドボックスタブのアクティビティを意味する場合があります。 次の値が存在します:「無効」、「Flashのみ」、「PDFのみ」、「FlashとPDF」、「すべてのプラグイン」。 攻撃者は、脆弱性を悪用するためにサードパーティのプラグインのコンテンツを使用することが多いため、リスト内の個別のアイテムとして除外されました。
win32k.sysドライバーの脆弱性は、システムで最大のSYSTEM権限を取得するために攻撃者によって使用されます。これは、WebブラウザーのRCE脆弱性とともに、システム上で攻撃者の実行可能コードを起動することにより、Webブラウザーを介してユーザーのシステムを完全に制御できます。 このような権利を取得した後、攻撃者はシステムでカーネルモードコードを実行し、侵害されたシステムで最大限の機能を取得できます。 このようなChromeのエクスプロイトのコストは10万ドルを超える可能性があります。
サンドボックスプロセスでwin32k.sysドライバーの使用を無効にすることは、エクスプロイトの破壊的なアクションからユーザーの安全を確保するためのもう1つの重要な手段です。