Речь про тот же Windows 10 Insider Preview Build 14316, который [упоминался][1] нами несколько раз в предыдущих постах, посвященных подсистеме Ubuntu Linux. В новом билде Windows 10 изменения не обошли и ядро. Microsoft [добавила][2] туда новый объект ядра под названием RegistryTransaction с соответствующими API-функциями работы с ним вроде _[NtCommit/NtCreate/NtOpen/NtRollback]RegistryTransaction_. Как не трудно догадаться, речь идет об атомарных операциях с данными реестра. ![][3] Другим улучшением стало появление долгожданной функции под названием _Win32k syscalls filtering_ на уровне ядра Windows. Так как она все еще находится в предварительной сборке Windows 10, о ней известно не так много. Основное ее предназначение заключается в том, что она позволит полностью закрыть sandbox для процессов соответствующих приложений, типа браузеров и снимет вопрос эксплуатации LPE-уязвимостей в win32k.sys для них. На сегодняшний день такие уязвимости являются основной возможностью получения эксплойтом максимальных прав SYSTEM при проникновении в систему через веб-браузер. [Читать дальше →][4]

[1]: https://habrahabr.ru/company/eset/blog/281418/
[2]: https://raw.githubusercontent.com/hfiref0x/SyscallTables/master/Binary/syscalls.txt
[3]: https://habrastorage.org/files/aa0/fda/97b/aa0fda97bfad4128a62fdc83ffa70b33.png
[4]: https://habrahabr.ru/post/281481/#habracut