Още преди разработчикът да създаде кръпка за установяване на уязвимостта, открита в приложението, атакуващият пуска злонамерен софтуер за него. Това събитие се нарича като Нулев експлоатационен ден, Когато разработчиците на компания създават софтуер или приложение, присъщата опасност - в нея може да има уязвимост. Актът на заплахата може да забележи тази уязвимост, преди предприемачът да открие или има шанс да го реши.
След това атакуващият може да напише и внедри код за експлоатиране, докато уязвимостта все още е отворена и достъпна. След пускането на експлойта от нападателя, програмистът го потвърждава и създава кръпка за отстраняване на проблема. Въпреки това, след като е написан и използван пластирът, експлоатацията вече не се нарича нулев експлоатационен ден.
Windows 10 Намаляване на експлоатацията на нулеви дни
Microsoft успя да избегне атаките с нулеви експлоатирани дни, като се бори с Използвайте и Техника на разслоеното откриване в Windows 10.
Екипите по сигурността на Microsoft през годините работят изключително трудно за справяне с тези атаки. С помощта на специални инструменти като Windows Defender Application Guard, които осигуряват безопасен виртуализиран слой за браузъра Microsoft Edge и защитата на Windows Defender Advanced Threat Protection - услуга, базирана на облак, която идентифицира нарушения, използващи данни от вградени сензори Windows 10, да затегне защитната рамка на платформата на Windows и да спре Експлоатация на новооткрити и дори неразкрити уязвимости.
Microsoft твърдо вярва, че превенцията е по-добра от лечението. По този начин се набляга повече на техниките за смекчаване на последиците и на допълнителните защитни слоеве, които могат да запазят кибернетичните атаки навреме, докато уязвимостите се фиксират и се използват пластири. Защото е приета истина, че намирането на уязвимости отнема значително време и усилия и е почти невъзможно да се намерят всички тях. Така че, като имаме споменатите по-горе мерки за сигурност, можем да помогнем за предотвратяването на атаки, базирани на нулеви експлоатации.
Последни 2 експлойта на ниво ядро, на базата на CVE-2016-7255 и CVE-2016-7256 са случая.
CVE-2016-7255 използват: Увеличаване на привилегията на Win32k
Миналата година STRONTIUM атака група стартираха кампания за фишинг на копия, насочена към малък брой мозъчни тръстове и неправителствени организации в САЩ. Атаката използва две уязвимости в нулеви дни Adobe Flash и ядрото на Windows от по-ниско ниво, за да насочвате към конкретен набор от клиенти. След това те използват " типа объркване"Уязвимост в win32k.sys (CVE-2016-7255), за да получите по-високи привилегии.
Уязвимостта първоначално бе идентифицирана от Групата за анализ на заплахите на Google, Беше установено, че потребителите, използващи Microsoft Edge на Windows 10 Anniversary Update, са безопасни от версиите на тази атака, наблюдавани в дивата природа. За да се противопостави на тази заплаха, Microsoft се съгласи с Google и Adobe да разследват тази злонамерена кампания и да създадат кръпка за версии на Windows от по-ниско ниво. По тези редове лепенките за всички версии на Windows бяха тествани и пуснати съответно, след като актуализацията стана по-късно публично.
Едно задълбочено разследване на вътрешните данни на конкретния експлойт за CVE-2016-7255, изработено от атакуващия, разкри как техниките на Microsoft за смекчаване на климата предоставиха на клиентите предпазлива защита от експлойта, още преди пускането на конкретната актуализация за установяване на уязвимостта.
Съвременните експлойти, като горепосочените, разчитат на примитиви за четене и писане (RW), за да постигнат изпълнението на кода или да спечелят допълнителни привилегии. И тук атакуващите са придобили RW примитиви чрез корупция tagWND.strName структурата на ядрото. Чрез обратния инженеринг на своя код, Microsoft откри, че Win32k exploit, използван от STRONTIUM през октомври 2016 г., използва повторно същия метод. Операторът, след първоначалната уязвимост на Win32k, разруши структурата на tagWND.strName и използва SetWindowTextW, за да напише произволно съдържание навсякъде в паметта на ядрото.
За да се намали въздействието на Win32k exploit и подобни Екип за отбранителна сигурност в Windows (OSR) въведе техники в Windows 10 Anniversary Update, които могат да предотвратят злоупотребата с tagWND.strName. Смекчаването извърши допълнителни проверки за полетата на базата и дължината, като се увери, че те не са приложими за RW примитиви.
CVE-2016-7256 exploit: Откриване на типа на шрифта от привилегии
През ноември 2016 г. бяха открити неидентифицирани участници, които експлоатират недостатък в Windows библиотека с шрифтове (CVE-2016-7256), за да издигнем привилегиите и да инсталираме задната врата на Hankray - имплант за извършване на атаки в малък обем на компютри с по-стари версии на Windows в Южна Корея.
Вторичният изпълним или скриптов инструмент, който не бе възстановен, изглежда е изпълнил действието на отпадане на шрифта, изчисляване и подготовка на твърди кодирания, необходими за използване на ядрото API и структурите на ядрото на целевата система. Актуализирането на системата от Windows 8 до Windows 10 Anniversary Update попречи на exploit code за CVE-2016-7256 да достигне до уязвими кодове. Актуализацията успя да неутрализира не само специфичните експлойти, но и методите за тяхното използване.
Заключение: Чрез платформено откриване и използване на смекчаване, Microsoft успешно нарушава методите на използване и затваря цели класове уязвимости. В резултат на това тези техники за смекчаване намаляват значително атаките, които биха могли да бъдат на разположение за бъдещи нулеви експлоатации.
Освен това, с предоставянето на тези техники за смекчаване, Microsoft принуди нападателите да намерят начини за намиране на нови защитни слоеве. Например, дори простият тактически смекчаване срещу популярните RW примитиви принуждава авторите на експлойта да отделят повече време и ресурси за намиране на нови атаки. Също така, чрез преместване на кода за анализ на шрифтове в изолиран контейнер, компанията намали вероятността шрифтовете на шрифтове да се използват като вектори за ескалация на привилегии.
Освен споменатите по-горе техники и решения, Windows 10 Anniversary Updates въвежда много други техники за смекчаване на основните компоненти на Windows и браузъра Microsoft Edge, като по този начин защитава системите от обхвата на експлойтите, идентифицирани като неразкрити уязвимости.
