Selv før en utvikler lager en oppdatering for å fikse sikkerhetsproblemet som er oppdaget i appen, overfører en angriper skadelig programvare for den. Denne hendelsen kalles som Nulledag utnytte. Når et selskaps utviklere lager programvare eller et program, kan den inneboende faren - et sårbarhet eksistere i det. Trusselskuespilleren kan oppdage dette sikkerhetsproblemet før utvikleren oppdager eller har mulighet til å fikse det.
Angriperen kan da skrive og implementere en utnyttningskode mens sikkerhetsproblemet fortsatt er åpent og tilgjengelig. Etter utløsningen av utnyttelsen av angriperen, anerkjenner utvikleren det og oppretter en oppdatering for å fikse problemet. Men når en lapp er skrevet og brukt, blir exploit ikke lenger kalt en nulldagsutnyttelse.
Windows 10 Null-dagers utnyttelsesreduksjoner
Microsoft har klart å avværge Zero-Day Exploit Attacks ved å kjempe med Utnytte Mitigation og Lagdetekteringsteknikks i Windows 10.
Microsofts sikkerhetsgrupper har gjennom årene jobbet hardt for å takle disse angrepene. Via sine spesielle verktøy som Windows Defender Application Guard, som gir et sikkert virtualisert lag for Microsoft Edge-nettleseren og Windows Defender Advanced Threat Protection, en skybasert tjeneste som identifiserer brudd ved hjelp av data fra innebygde Windows 10-sensorer, har det klart å stramme sikkerhetsrammen på Windows-plattformen og stoppe Utnyttelse av nyoppdagede og til og med ukjente sårbarheter.
Microsoft mener fast, forebygging er bedre enn kur. Som sådan legger det større vekt på reduksjonsteknikker og ytterligere defensive lag som kan holde cyberangrep i sjakk mens sårbarheter blir løst og patcher blir utplassert. Fordi det er en akseptert sannhet som å finne sårbarheter, tar det mye tid og innsats, og det er nesten umulig å finne dem alle. Så med å ha ovennevnte sikkerhetsforanstaltninger på plass kan det bidra til å forhindre angrep basert på nulldagseffekter.
Nylige 2 kjerne-nivå utnytter, basert på CVE-2016-7255 og CVE-2016-7256 er et tilfelle i punkt.
CVE-2016-7255 utnytte: Win32k høyde av privilegium
I fjor, den STRONTIUM angrep gruppe lanserte en spyd-phishing-kampanje rettet mot et lite antall tenktanker og ikke-statlige organisasjoner i USA. Angrepskampanjen brukte to nulldagssårbarheter i Adobe Flash og Windows-kjerne på nede for å målrette mot et bestemt sett av kunder. De grep da type forvirring'Sårbarhet i win32k.sys (CVE-2016-7255) for å få forhøyede rettigheter.
Sårbarheten ble opprinnelig identifisert av Googles trusselanalysegruppe. Det ble funnet at kunder som bruker Microsoft Edge på Windows 10 Anniversary Update var trygge fra versjoner av dette angrepet, observert i naturen. For å imøtekomme denne trusselen samordnet Microsoft med Google og Adobe for å undersøke denne ondsinnede kampanjen og å lage en oppdatering for nedre versjoner av Windows. På denne måten ble patcher for alle versjoner av Windows testet og utgitt tilsvarende som oppdateringen senere, offentlig.
En grundig undersøkelse av internene til den spesifikke bruken av CVE-2016-7255 laget av angriperen, avslørte hvordan Microsofts begrensningsteknikker ga kundene forebyggende beskyttelse mot utnyttelsen, selv før utgivelsen av den spesifikke oppdateringen fastsatte sikkerhetsproblemet.
Moderne utnyttelser som ovenfor, stole på read-write (RW) primitives for å oppnå kode kjøring eller få flere privilegier. Også her anskaffet angripere RW primitives ved å ødelegge tagWND.strName kjernestruktur. Ved å omdanne sin kode, fant Microsoft at Win32k-utnytta som ble brukt av STRONTIUM i oktober 2016, gjenbrukte nøyaktig samme metode. Utnyttelsen, etter det første Win32k-sårbarheten, ødela tagWND.strName-strukturen og brukte SetWindowTextW til å skrive vilkårlig innhold hvor som helst i kjerneminnet.
For å redusere virkningen av Win32k utnytte og lignende utnytelser, vil Windows Offensive Security Research Team (OSR) introduserte teknikker i Windows 10 års jubileumsoppdatering som er i stand til å forhindre misbruk av tagWND.strName. Reduksjonen utførte ytterligere kontroller for basis- og lengdefeltene, slik at de ikke kan brukes til RW-primitiver.
CVE-2016-7256 utnytte: Åpne type skriftlig høyde av privilegium
I november 2016 ble uidentifiserte aktører oppdaget å utnytte en feil i Windows Font-bibliotek (CVE-2016-7256) for å heve privilegier og installere Hankray bakdør - et implantat for å utføre angrep i lavt volum på datamaskiner med eldre versjoner av Windows i Sør-Korea.
Det sekundære kjørbare eller skriptverktøyet, som ikke ble gjenopprettet, syntes å utføre handlingen av å slippe skriftutnyttelsen, beregne og klargjøre de hardkodede forskyvningene som trengs for å utnytte kjernep API og kjernestrukturene på det målrettede systemet. Oppdatering av systemet fra Windows 8 til Windows 10 Årsoppdatering forhindret at utnyttelseskoden for CVE-2016-7256 nå sårbar kode. Oppdateringen klarte å nøytralisere ikke bare de spesifikke utnyttelsene, men også deres utnyttelsesmetoder.
Konklusjon: Via lagdelt gjenkjenning og utnyttelse av begrensning bryter Microsoft vellykket utnyttelsesmetoder og lukker hele klasser av sårbarheter. Som et resultat reduserer disse begrensningsteknikkene signifikant angrepstilfeller som kan være tilgjengelige for fremtidige nulldagseffekter.
Videre har Microsoft, ved å levere disse begrensningsteknikker, tvunget angripere til å finne måter rundt nye forsvarslag. For eksempel tvinger selv den enkle taktiske begrensningen mot populære RW-primitiver de utnytte forfatterne til å bruke mer tid og ressurser til å finne nye angrepsruter. Ved å flytte fontparsingskode til en isolert beholder har selskapet også redusert sannsynligheten for at fontbugs blir brukt som vektorer for privilegiereskalering.
Bortsett fra teknikker og løsninger nevnt ovenfor, presenterer Windows 10 Anniversary Updates mange andre begrensningsteknikker i kjernekomponenter i Windows og Microsoft Edge-nettleseren, og sikrer dermed systemer fra rekkevidde av utbytter identifisert som ukjente sårbarheter.
