2024 Författare: Peter John Melton | [email protected]. Senast ändrad: 2023-12-16 04:45
Även innan en utvecklare skapar en korrigeringsfil för att fastställa sårbarheten som upptäckts i appen, släpper en angripare skadlig kod för den. Denna händelse kallas som Zero-day exploit. När ett företags utvecklare skapar programvara eller en applikation, kan den inneboende faran - det finns en sårbarhet i den. Hot aktören kan upptäcka denna sårbarhet innan utvecklaren upptäcker eller har en chans att fixa det.
Anfallaren kan då skriva och implementera en exploateringskod medan sårbarheten fortfarande är öppen och tillgänglig. Efter attackerens exploatering frigörs utvecklaren det och skapar en korrigeringsfil för att åtgärda problemet. När en patch är skriven och används används exploit inte längre som en nolldagars exploatering.
Windows 10 Zero-day exploit mitigations
Microsoft har lyckats avvärja Zero-Day Exploit Attacks genom att slåss med Utnyttja Mitigation och Lagrad detekteringstekniks i Windows 10.
Microsofts säkerhetslag har genom åren arbetat mycket hårt för att ta itu med dessa attacker. Via sina specialverktyg som Windows Defender Application Guard, som ger ett säkert virtualiserat lager för Microsoft Edge-webbläsaren och Windows Defender Advanced Threat Protection, en molnbaserad tjänst som identifierar brott med data från inbyggda Windows 10-sensorer, har det lyckats att strama säkerhetsramen på Windows-plattformen och stoppa Utnyttjandet av nyupptäckta och till och med oskyddade sårbarheter.
Microsoft tror starkt, förebyggande är bättre än botemedel. Som sådan läggs mer tonvikt på mitigeringstekniker och ytterligare defensiva lager som kan hålla cyberangrepp i sjön medan sårbarheter lösas och patchar utplaceras. Eftersom det är en accepterad sanning att hitta sårbarheter tar mycket tid och ansträngningar och det är nästan omöjligt att hitta dem alla. Så att ha ovannämnda säkerhetsåtgärder på plats kan hjälpa till att förebygga attacker baserade på nolldagars utnyttjande.
De senaste 2 kärnnivånivåerna utnyttjar, baserat på CVE-2016-7255 och CVE-2016-7256 är ett fall i punkten.
Utnyttja CVE-2016-7255: Win32k-höjning av behörighet
Förra året, den STRONTIUM attackgrupp lanserade en spjutfiskningskampanj som inriktades på ett litet antal tanke och icke-statliga organisationer i USA. Anfallskampanjen använde två sjuka dagars sårbarheter i Adobe Flash och Windows-kärnan på nivån för att rikta in en specifik uppsättning kunder. De hävdar sedan typ-förvirringSårbarhet i win32k.sys (CVE-2016-7255) för att få förhöjda behörigheter.
Sårbarheten identifierades ursprungligen av Googles hotgrupp för analys av hot. Det visade sig att kunder som använder Microsoft Edge på Windows 10 Anniversary Update var säkra från versioner av denna attack som observerades i det vilda. För att motverka detta hot samordnade Microsoft med Google och Adobe att undersöka denna skadliga kampanj och skapa en korrigeringsfil för versioner av Windows på nivån. Längs dessa linjer testades och släpptes patchar för alla versioner av Windows som uppdateringen senare, offentligt.
En genomgripande utredning av internetsidan av det specifika utnyttjandet för CVE-2016-7255 tillverkat av angriparen avslöjade hur Microsofts lindringstekniker gav kunderna förebyggande skydd från exploateringen, även innan den specifika uppdateringen av sårbarheten släpptes.
Moderna utnyttjanden som ovan, förlita sig på read-write (RW) primitives för att uppnå kodkörning eller få ytterligare privilegier. Även här förvärvade angripare RW-primitiva genom att förstöra tagWND.strName kärnstruktur. Genom att omvandla sin kod upptäckte Microsoft att Win32k-utnyttjandet som användes av STRONTIUM i oktober 2016 återanvändde exakt samma metod. Utnyttjandet, efter den första Win32k-sårbarheten, skadade tagwND.strName-strukturen och använd SetWindowTextW för att skriva godtycklig innehåll var som helst i kärnminne.
För att mildra effekterna av Win32k-utnyttjandet och liknande utnyttjanden, Windows Offensive Security Research Team (OSR) införde tekniker i Windows 10 årsjubileumuppdateringen som kan förhindra missbruk av tagWND.strName. Mätningen utförde ytterligare kontroller för bas- och längdfälten, så att de inte är användbara för RW-primitiva.
Utnyttja CVE-2016-7256: Öppna typsnittstyphöjning av behörighet
I november 2016 upptäcktes oidentifierade aktörer som utnyttjade ett fel i Windows Font-bibliotek (CVE-2016-7256) för att höja behörigheterna och installera Hankray bakdörr - ett implantat för att utföra attacker i låg volym i datorer med äldre versioner av Windows i Sydkorea.
Det sekundära körbara eller skriptverktyget, som inte återställdes, verkade utföra åtgärden att släppa teckensnittsutnyttjandet, beräkna och förbereda de hårdkodade förskjutningarna som behövs för att utnyttja kärnans API och kärnstrukturerna på det riktade systemet. Uppdatering av systemet från Windows 8 till Windows 10 Årsuppdatering hindrade exploateringskoden för CVE-2016-7256 att nå sårbar kod. Uppdateringen lyckades neutralisera inte bara de specifika utnyttjanden utan även deras utnyttjande metoder.
Slutsats: Via lagrad upptäckt och utnyttjandegrad eliminerar Microsoft framgångsrikt utnyttjandemetoder och stänger hela klasserna av sårbarheter. Som en följd av detta reducerar dessa reducerande tekniker väsentligt attacker som kan vara tillgängliga för framtida nolldagars exploiteringar.
Dessutom har Microsoft tvingat angripare att hitta vägar kring nya försvarslager genom att leverera dessa mildrande tekniker. Till exempel, även den enkla taktiska mildringen mot populära RW-primitiva tvingar de exploaterande författarna att tillbringa mer tid och resurser för att hitta nya attackvägar. Genom att flytta fontparsingskoden till en isolerad behållare har företaget också minskat sannolikheten för att teckensnittsbuggar används som vektorer för privilegier eskalering.
Bortsett från tekniker och lösningar som nämns ovan presenterar Windows 10 Anniversary Updates många andra begränsningstekniker i centrala Windows-komponenter och Microsoft Edge-webbläsaren, vilket därigenom skyddar system från det antal exploater som identifieras som oskyddade sårbarheter.
Rekommenderad:
Hur man hjälper till att förhindra att virus körs via ActiveX-filtrering i IE9
Någon som har varit på internet om ett tag vet om ActiveX-kontroller och deras historiska säkerhetsproblem. Så här använder du ActiveX-filtrering i IE9 för att förhindra att du blir kapad av ett virus medan du surfar.
Addin Central hjälper till att hitta plugin för Windows Home Server
Om du är en Windows Home Server-användare har du förmodligen stött på många coola tillägg som du kan använda för att förbättra dess funktionalitet. Idag tar vi en titt på Addin Central … vilket ger dig enkel åtkomst till de många addin möjligheterna där ute.
Google TeachParentsTech.org hjälper till att lära datorns grunder till föräldrarna
Lär dig föräldrar, föräldrar, seniorer och elderlt grunden för hur man använder Windows och Macc-datorn med hjälp av videotutorials fr0m TeachParentsTech från Google.
Ransomware Tracker hjälper dig att spåra, mildra och skydda dig själv
Ransomware Tracker är en resurs som spårar, mildrar och visar hur du spärrar källor till ransomware som kan störa ditt arbete online.
Vad är Honeypots och hur kan de säkra datorsystem
Honeypots är fällor som är avsedda för att upptäcka försök mot obehörig användning av informationssystem, i syfte att lära av attackerna för att ytterligare förbättra datasäkerheten.