微软研究人员发现，它在11月修补的两个零时差攻击无论如何都无法在运行Windows 10周年更新的系统上运行。

该公司一直在测试其最新内置的Windows 10和Edge缓解漏洞功能(如AppContainer沙箱和更强的验证功能)在八月份的周年更新中附带的功能是否能够阻止常用技术。

微软的Windows Defender安全团队针对10月份针对美国组织的Fancy Bear黑客使用的零日漏洞CVE-2016-7255和针对韩国目标使用的CVE-2016-7256 测试了周年更新。两种内核级漏洞利用均导致特权提升，并在11月进行了修补。

根据微软的分析，虽然运行较旧版本Windows的系统可能会受到威胁，但周年更新上的系统将受到保护。

微软的Windows Defender ATP研究团队写道： “我们在零日攻击之前数月发布的Windows 10周年更新中，如何利用漏洞缓解技术成功地不仅消除了特定漏洞，而且还消除了他们的漏洞利用方法，” 微软的Windows Defender ATP研究团队写道。

“结果，这些缓解技术大大减少了将来零日漏洞利用所能利用的攻击面。”

正如他们指出的那样，修复单个漏洞有助于消除特定的错误。但是，增强漏洞利用缓解功能可以消除跨多个漏洞利用的攻击技术。

Defender团队写道：“这种缓解技术可以破坏利用方法，提供中期战术利益，或关闭所有类别的漏洞以取得长期战略影响。”

例如，与Flash Player零时差结合使用的Win32k漏洞CVE-2016-7255滥用了Windows tagWND.strName。该团队解释说，攻击者通过破坏tagWND.strName内核结构获得了读写(RW)原语，并指出2015年发现的高级恶意软件Duqu 2.0使用了完全相同的方法。

Windows 10周年更新通过额外的验证来防止tagWND.strName的滥用，确保它们不能用于RW原语。

该团队写道：“在我们的周年更新测试中，使用此方法在内核中创建RW原语的攻击无效。这些攻击导致异常和随后的蓝屏错误。”

同时，Microsoft的安全团队发现，通过在AppContainer沙箱而不是Windows内核中运行字体解析，已消除了CVE-2016-7256的利用。

“ Windows 10周年更新还包括对字体文件解析的附加验证。在我们的测试中，针对CVE-2016-7256的特定利用代码无法通过这些检查，并且无法访问易受攻击的代码。”

微软计划在即将于春季发布的 Windows 10 Creators Update中揭示更多的缓解漏洞功能。

Microsoft已经证明放弃对其独立的漏洞缓解工具集EMET的支持，因为这些安全功能已内置在Windows 10中。

EMET支持将于2018年7月13日终止，因此，如果Windows 7用户希望获得EMET提供的额外保护，则他们必须在Windows 7扩展支持于2020年到期之前升级到Windows 10。