Еще до того, как разработчик создает исправление для исправления уязвимости, обнаруженной в приложении, злоумышленник выпускает для него вредоносное ПО. Это событие называется Операция с нулевым днем, Всякий раз, когда разработчики компании создают программное обеспечение или приложение, неотъемлемая опасность - в нем может существовать уязвимость. Актер угрозы может обнаружить эту уязвимость до того, как разработчик обнаружит или сможет исправить это.
Затем злоумышленник может писать и внедрять код эксплойта, пока уязвимость все еще остается открытой и доступной. После освобождения злоумышленника разработчик подтверждает его и создает исправление, чтобы исправить проблему. Однако, как только патч написан и используется, эксплоит больше не называется эксплойтом с нулевым днем.
Устранение уязвимостей в Windows 10 Zero-day
Microsoft удалось предотвратить атаки с использованием Zero-day Exploit, сражаясь с Смягчение последствий а также Многоуровневая техника обнаруженияs в Windows 10.
Команды безопасности Microsoft на протяжении многих лет работали чрезвычайно трудно решить эти атаки. Благодаря своим специальным инструментам, таким как защитник приложений Windows Defender, который обеспечивает безопасный виртуализированный уровень для браузера Microsoft Edge и защитную защиту Windows Defender Advanced Threat Protection, облачную службу, которая идентифицирует нарушения, использующие данные со встроенных датчиков Windows 10, для упрощения безопасности на платформе Windows и прекращения использования обнаруженных и даже нераскрытых уязвимостей.
Microsoft уверена, что профилактика лучше, чем лечение. Таким образом, он уделяет больше внимания методам смягчения и дополнительным защитным слоям, которые могут удерживать кибератаки в страхе, в то время как уязвимости фиксируются, а патчи развертываются. Поскольку общепризнанная истина заключается в том, что обнаружение уязвимостей занимает много времени и усилий, и их практически невозможно найти. Таким образом, наличие вышеупомянутых мер безопасности может помочь предотвратить атаки, основанные на атаках с нулевым дном.
Недавние 2 эксплойта уровня ядра, основанные на CVE-2016-7255 а также CVE-2016-7256 являются примером.
Использование CVE-2016-7255: повышение привилегий Win32k
В прошлом году Группа нападения STRONTIUM начал кампанию по борьбе с пирсингом, нацеленную на небольшое количество мозговых центров и неправительственных организаций в Соединенных Штатах. В атаке использовались две уязвимости в течение Adobe Flash и ядро Windows на нижнем уровне, предназначенное для определенного набора клиентов. Затем они использовали типа путаница'Уязвимости в win32k.sys (CVE-2016-7255), чтобы получить повышенные привилегии.
Уязвимость была Группа анализа угроз Google, Было обнаружено, что клиенты, использующие Microsoft Edge в Windows 10 Anniversary Update, были в безопасности от версий этой атаки, наблюдаемой в дикой природе. Чтобы противостоять этой угрозе, Microsoft скоординировала работу с Google и Adobe, чтобы исследовать эту вредоносную кампанию и создать патч для версий Windows. Вдоль этих строк исправления для всех версий Windows были протестированы и выпущены соответственно как обновление позже, публично.
Тщательное исследование внутренних компонентов конкретного эксплойта CVE-2016-7255, созданного злоумышленником, показало, как методы смягчения Microsoft предоставили клиентам преимущественную защиту от эксплойта, даже до выпуска конкретного обновления, фиксирующего уязвимость.
Современные эксплоиты, такие как выше, полагаются на примитивы чтения-записи (RW) для достижения выполнения кода или получения дополнительных привилегий. Здесь также нападавшие приобрели примитивы RW, развращая tagWND.strName структура ядра. Посредством обратного проектирования своего кода Microsoft обнаружила, что эксплойт Win32k, используемый STRONTIUM в октябре 2016 года, повторно использовал тот же самый метод. Эксплойт после первоначальной уязвимости Win32k испортил структуру tagWND.strName и использовал SetWindowTextW для записи произвольного содержимого в любом месте в памяти ядра.
Чтобы смягчить влияние эксплойтов Win32k и подобных эксплойтов, Исследовательская группа по атакам безопасности Windows (OSR) внедряют методы в обновлении Windows 10 Anniversary для предотвращения злоупотребления использованием tagWND.strName. В результате смягчения выполнялись дополнительные проверки полей базы и длины, чтобы они не использовались для примитивов RW.
CVE-2016-7256 эксплойт: расширение привилегий открытого типа
В ноябре 2016 года были обнаружены неопознанные субъекты, использующие недостатки в Библиотека шрифтов Windows (CVE-2016-7256), чтобы повысить привилегии и установить заднюю дверь Hankray - имплантат для проведения атак с низким уровнем громкости на компьютерах со старыми версиями Windows в Южной Корее.
Вторичный исполняемый или скриптовый инструмент, который не был восстановлен, как оказалось, выполнил действие по удалению эксплойта шрифта, вычислению и подготовке жестко закодированных смещений, необходимых для использования API ядра и структур ядра в целевой системе. Обновление системы с Windows 8 до Windows 10 Anniversary Update не позволило использовать код эксплойта для CVE-2016-7256 для достижения уязвимого кода. Обновление удалось нейтрализовать не только конкретные эксплойты, но и их методы эксплойтов.
Заключение: Благодаря многоуровневому обнаружению и использованию смягчения, Microsoft успешно разрывает методы использования и закрывает целые классы уязвимостей. В результате эти методы смягчения значительно уменьшают атаки, которые могут быть доступны для будущих атак с использованием нулевого дня.
Более того, поставляя эти методы смягчения, Microsoft заставила нападавших найти способы вокруг новых уровней защиты. Например, теперь даже простое тактическое смягчение против популярных примитивов RW заставляет авторов эксплойта тратить больше времени и ресурсов на поиск новых маршрутов атаки. Кроме того, перемещая код разбора шрифтов в изолированный контейнер, компания уменьшила вероятность того, что ошибки шрифтов будут использоваться в качестве векторов для повышения эскалации привилегий.
Помимо упомянутых выше технологий и решений, обновления для Windows 10 Anniversary Updates включают множество других методов смягчения в основных компонентах Windows и браузере Microsoft Edge, тем самым защищая системы от ряда эксплойтов, идентифицированных как нераскрытые уязвимости.
