Dokonca aj predtým, než vývojár vytvorí opravu na opravu zraniteľnosti zistenej v aplikácii, útočník uvoľní škodlivý softvér. Táto udalosť sa nazýva ako Využívanie nultého dňa, Kedykoľvek vývojári spoločnosti vytvárajú softvér alebo aplikáciu, vlastné nebezpečenstvo - v nej môže existovať zraniteľnosť. Aktér ohrozenia môže túto chybu zistiť skôr, ako vývojár zistí alebo má šancu opraviť.
Útočník potom môže napísať a implementovať kód zneužitia, zatiaľ čo zraniteľnosť je stále otvorená a dostupná. Po uvoľnení zneužitia útočníkom to vývojár potvrdí a vytvorí opravu na odstránenie problému. Avšak, akonáhle sa zapíše a použije náplasť, zneužitie sa už nepovažuje za zneužitie nuly.
Windows 10 Zero-day zmierňovanie zneužívania
Spoločnosť Microsoft sa podarilo odvrátiť útoky na nulové dni vykorisťovaním Exploit Mitigation a Technika vrstevnej detekcies v systéme Windows 10.
Bezpečnostné tímy spoločnosti Microsoft za posledné roky veľmi ťažko riešili tieto útoky. Prostredníctvom špeciálnych nástrojov, ako je napríklad aplikácia Windows Defender Application Guard, ktorá poskytuje bezpečnú virtualizovanú vrstvu pre prehliadač Microsoft Edge a Windows Defender Advanced Threat Protection, služba cloud-based, ktorá identifikuje porušenie údajov pomocou vstavaných senzorov Windows 10, sprísniť bezpečnostný rámec na platforme Windows a zastaviť Využitie novoobjavených a dokonca nezverejnených zraniteľností.
Microsoft je presvedčený, že prevencia je lepšia ako liečba. Ako taký kladie väčší dôraz na techniky zmierňovania a ďalšie obranné vrstvy, ktoré môžu udržať kybernetické útoky v zálive, zatiaľ čo zraniteľné miesta sú opravené a záplaty sú nasadené. Pretože je prijateľnou pravdou, že nájdenie zraniteľnosti trvá značné množstvo času a úsilia a je prakticky nemožné nájsť všetky z nich. Takže zavedenie vyššie uvedených bezpečnostných opatrení môže pomôcť pri predchádzaní útokom založeným na zneužívaní nultého dňa.
Posledné 2 využitie na úrovni jadra založené na CVE-2016-7255 a CVE-2016-7256 sú príkladom.
CVE-2016-7255 využívajú: zvýšenie oprávnenia Win32k
V minulom roku Stretnická skupina STRONTIUM spustila kampaň proti kopírovaniu o oštepoch a zamerala sa na malý počet think-tankov a mimovládnych organizácií v Spojených štátoch. Útoková kampaň používala dve zraniteľnosti v nulovom dni Adobe Flash a jadro systému Windows nižšej úrovne na zacielenie na konkrétnu skupinu zákazníkov. Potom využili typu zmätok'Zraniteľnosť v win32k.sys (CVE-2016-7255), aby ste získali zvýšené privilégiá.
Táto zraniteľnosť bola pôvodne identifikovaná Skupina pre analýzu hrozieb spoločnosti Google, Bolo zistené, že zákazníci používajúci Microsoft Edge na Windows 10 Anniversary Update boli bezpečné z verzií tohto útoku pozorovaných vo voľnej prírode. Spoločnosť Microsoft koordinovala spoluprácu so spoločnosťami Google a spoločnosťou Adobe s cieľom vyriešiť túto hrozbu a vytvoriť záplatu pre nižšie verzie systému Windows. V rámci týchto riadkov boli náplasti pre všetky verzie systému Windows otestované a uvoľnené zodpovedajúco ako aktualizácia neskôr, verejne.
Dôkladné vyšetrovanie internalizácie špecifického zneužitia CVE-2016-7255 vytvoreného útočníkom odhalilo, ako spôsoby zmierňovania zo strany spoločnosti Microsoft poskytovali zákazníkom ochranu pred zneužívaním pred zneužitím, a to ešte pred vydaním špecifickej aktualizácie, ktorá stanovuje zraniteľnosť.
Moderné využitie, ako sú uvedené vyššie, sa spoliehajú na primitivu čítania-zápisu (RW) na dosiahnutie vykonávania kódu alebo získanie ďalších privilégií. Aj tu útočníci získali RW primitívov tým, že poškodzujú tagWND.strName štruktúru jadra. Prostredníctvom reverzného inžinierstva svojho kódu spoločnosť Microsoft zistila, že využitie Win32k, ktoré používa STRONTIUM v októbri 2016, opätovne používa presne rovnakú metódu. Využitie po počiatočnej zraniteľnosti Win32k poškodilo štruktúru tagWND.strName a použilo SetWindowTextW na písanie ľubovoľného obsahu kdekoľvek v pamäti jadra.
Na zmiernenie vplyvu zneužitia Win32k a podobných zneužívajúcich, Tím pre výskum útočných bezpečnostných systémov Windows (OSR) zaviedla techniky v aktualizácii Windows 10 Anniversary, ktorá je schopná zabrániť zneužitiu používania značky tagWND.strName. Zmierňovanie vykonalo dodatočné kontroly základných a dĺžkových polí, ktoré sa uistili, že nie sú použiteľné pre primárne RW.
CVE-2016-7256 exploit: Otvorenie typu písma vyvýšenie privilégií
V novembri 2016 boli identifikovaní neidentifikovaní herci, ktorí využívali chybu v Knižnica písem systému Windows (CVE-2016-7256), aby zvýšili privilégiá a nainštalovali zadné dvere Hankray - implantát na vykonávanie útokov v malom objeme v počítačoch so staršími verziami Windows v Južnej Kórei.
Nástroj sekundárneho spustiteľného alebo skriptovacieho nástroja, ktorý nebol obnovený, zrejme vykonal akciu na zrušenie využívania písma, výpočet a prípravu hardcoded offsetov potrebných na využitie API jadra a štruktúry jadra v cieľovom systéme. Aktualizácia systému Windows 8 na aktualizáciu Windows 10 Anniversary zabránila zneužiť kód CVE-2016-7256, aby sa dostal do zraniteľného kódu. Táto aktualizácia dokázala neutralizovať nielen konkrétne zneužitia, ale aj metódy zneužitia.
záver: Prostredníctvom vrstvenej detekcie a zmierňovania zneužívania využíva spoločnosť Microsoft úspešne metódy zneužitia a zatvára celé skupiny zraniteľných miest. Výsledkom týchto techník zmierňovania je významné zníženie počtu prípadov útoku, ktoré by mohli byť k dispozícii pre budúce nulové využitie.
Navyše tým, že tieto techniky zmierňovania zmiernila, prinútil útočníkov nájsť spôsoby okolo nových obranných vrstiev. Napríklad, aj jednoduché taktické zmierňovanie proti populárnym RW primitívom prinúti autorov zneužívania, aby trávili viac času a prostriedkov pri hľadaní nových útočných ciest. Tiež presunutím kódu analýzy písma do izolovaného kontajnera spoločnosť znížila pravdepodobnosť, že sa chyby písiem budú používať ako vektory na zvyšovanie oprávnení.
Okrem techník a riešení uvedených vyššie, Windows 10 Anniversary Updates prináša mnoho ďalších techník zmierňovania v hlavných súčastiach systému Windows a prehliadači Microsoft Edge, čím zabezpečuje systémy z rozsahu zneužívaných funkcií označených ako nezverejnené zraniteľnosti.
