Windows 10 datorsystem hjälper till att mildra Zero-Day Exploits

Innehållsförteckning:

Video: Windows 10 datorsystem hjälper till att mildra Zero-Day Exploits

Video: Windows 10 datorsystem hjälper till att mildra Zero-Day Exploits
Video: Installera/Återställa Windows, ENKELT - Komplett.se 2024, Mars
Windows 10 datorsystem hjälper till att mildra Zero-Day Exploits
Windows 10 datorsystem hjälper till att mildra Zero-Day Exploits
Anonim

Även innan en utvecklare skapar en korrigeringsfil för att fastställa sårbarheten som upptäckts i appen, släpper en angripare skadlig kod för den. Denna händelse kallas som Zero-day exploit. När ett företags utvecklare skapar programvara eller en applikation, kan den inneboende faran - det finns en sårbarhet i den. Hot aktören kan upptäcka denna sårbarhet innan utvecklaren upptäcker eller har en chans att fixa det.

Anfallaren kan då skriva och implementera en exploateringskod medan sårbarheten fortfarande är öppen och tillgänglig. Efter attackerens exploatering frigörs utvecklaren det och skapar en korrigeringsfil för att åtgärda problemet. När en patch är skriven och används används exploit inte längre som en nolldagars exploatering.

Windows 10 Zero-day exploit mitigations

Microsoft har lyckats avvärja Zero-Day Exploit Attacks genom att slåss med Utnyttja Mitigation och Lagrad detekteringstekniks i Windows 10.

Microsofts säkerhetslag har genom åren arbetat mycket hårt för att ta itu med dessa attacker. Via sina specialverktyg som Windows Defender Application Guard, som ger ett säkert virtualiserat lager för Microsoft Edge-webbläsaren och Windows Defender Advanced Threat Protection, en molnbaserad tjänst som identifierar brott med data från inbyggda Windows 10-sensorer, har det lyckats att strama säkerhetsramen på Windows-plattformen och stoppa Utnyttjandet av nyupptäckta och till och med oskyddade sårbarheter.

Microsoft tror starkt, förebyggande är bättre än botemedel. Som sådan läggs mer tonvikt på mitigeringstekniker och ytterligare defensiva lager som kan hålla cyberangrepp i sjön medan sårbarheter lösas och patchar utplaceras. Eftersom det är en accepterad sanning att hitta sårbarheter tar mycket tid och ansträngningar och det är nästan omöjligt att hitta dem alla. Så att ha ovannämnda säkerhetsåtgärder på plats kan hjälpa till att förebygga attacker baserade på nolldagars utnyttjande.

De senaste 2 kärnnivånivåerna utnyttjar, baserat på CVE-2016-7255 och CVE-2016-7256 är ett fall i punkten.

Utnyttja CVE-2016-7255: Win32k-höjning av behörighet

Image
Image

Förra året, den STRONTIUM attackgrupp lanserade en spjutfiskningskampanj som inriktades på ett litet antal tanke och icke-statliga organisationer i USA. Anfallskampanjen använde två sjuka dagars sårbarheter i Adobe Flash och Windows-kärnan på nivån för att rikta in en specifik uppsättning kunder. De hävdar sedan typ-förvirringSårbarhet i win32k.sys (CVE-2016-7255) för att få förhöjda behörigheter.

Sårbarheten identifierades ursprungligen av Googles hotgrupp för analys av hot. Det visade sig att kunder som använder Microsoft Edge på Windows 10 Anniversary Update var säkra från versioner av denna attack som observerades i det vilda. För att motverka detta hot samordnade Microsoft med Google och Adobe att undersöka denna skadliga kampanj och skapa en korrigeringsfil för versioner av Windows på nivån. Längs dessa linjer testades och släpptes patchar för alla versioner av Windows som uppdateringen senare, offentligt.

En genomgripande utredning av internetsidan av det specifika utnyttjandet för CVE-2016-7255 tillverkat av angriparen avslöjade hur Microsofts lindringstekniker gav kunderna förebyggande skydd från exploateringen, även innan den specifika uppdateringen av sårbarheten släpptes.

Moderna utnyttjanden som ovan, förlita sig på read-write (RW) primitives för att uppnå kodkörning eller få ytterligare privilegier. Även här förvärvade angripare RW-primitiva genom att förstöra tagWND.strName kärnstruktur. Genom att omvandla sin kod upptäckte Microsoft att Win32k-utnyttjandet som användes av STRONTIUM i oktober 2016 återanvändde exakt samma metod. Utnyttjandet, efter den första Win32k-sårbarheten, skadade tagwND.strName-strukturen och använd SetWindowTextW för att skriva godtycklig innehåll var som helst i kärnminne.

För att mildra effekterna av Win32k-utnyttjandet och liknande utnyttjanden, Windows Offensive Security Research Team (OSR) införde tekniker i Windows 10 årsjubileumuppdateringen som kan förhindra missbruk av tagWND.strName. Mätningen utförde ytterligare kontroller för bas- och längdfälten, så att de inte är användbara för RW-primitiva.

Utnyttja CVE-2016-7256: Öppna typsnittstyphöjning av behörighet

I november 2016 upptäcktes oidentifierade aktörer som utnyttjade ett fel i Windows Font-bibliotek (CVE-2016-7256) för att höja behörigheterna och installera Hankray bakdörr - ett implantat för att utföra attacker i låg volym i datorer med äldre versioner av Windows i Sydkorea.

Det upptäcktes att typsnittsproverna på de berörda datorerna manipulerades specifikt med hårdkodade adresser och data för att återspegla faktiska kärnminnelayouter. Händelsen indikerade sannolikheten för att ett sekundärt verktyg dynamiskt genererade exploateringskoden vid infiltreringstidpunkten.
Det upptäcktes att typsnittsproverna på de berörda datorerna manipulerades specifikt med hårdkodade adresser och data för att återspegla faktiska kärnminnelayouter. Händelsen indikerade sannolikheten för att ett sekundärt verktyg dynamiskt genererade exploateringskoden vid infiltreringstidpunkten.

Det sekundära körbara eller skriptverktyget, som inte återställdes, verkade utföra åtgärden att släppa teckensnittsutnyttjandet, beräkna och förbereda de hårdkodade förskjutningarna som behövs för att utnyttja kärnans API och kärnstrukturerna på det riktade systemet. Uppdatering av systemet från Windows 8 till Windows 10 Årsuppdatering hindrade exploateringskoden för CVE-2016-7256 att nå sårbar kod. Uppdateringen lyckades neutralisera inte bara de specifika utnyttjanden utan även deras utnyttjande metoder.

Slutsats: Via lagrad upptäckt och utnyttjandegrad eliminerar Microsoft framgångsrikt utnyttjandemetoder och stänger hela klasserna av sårbarheter. Som en följd av detta reducerar dessa reducerande tekniker väsentligt attacker som kan vara tillgängliga för framtida nolldagars exploiteringar.

Dessutom har Microsoft tvingat angripare att hitta vägar kring nya försvarslager genom att leverera dessa mildrande tekniker. Till exempel, även den enkla taktiska mildringen mot populära RW-primitiva tvingar de exploaterande författarna att tillbringa mer tid och resurser för att hitta nya attackvägar. Genom att flytta fontparsingskoden till en isolerad behållare har företaget också minskat sannolikheten för att teckensnittsbuggar används som vektorer för privilegier eskalering.

Bortsett från tekniker och lösningar som nämns ovan presenterar Windows 10 Anniversary Updates många andra begränsningstekniker i centrala Windows-komponenter och Microsoft Edge-webbläsaren, vilket därigenom skyddar system från det antal exploater som identifieras som oskyddade sårbarheter.

Rekommenderad: