Jopa ennen kuin kehittäjä laatii korjaustiedoston sovelluksessa havaitun haavoittuvuuden korjaamiseksi, hyökkääjä vapauttaa haittaohjelmat sille. Tätä tapahtumaa kutsutaan nimellä Nollakohtainen hyödyntäminen. Aina kun yrityksen kehittäjät luovat ohjelmiston tai sovelluksen, siihen luontainen vaara - siinä voi olla haavoittuvuus. Vahingoittelija voi havaita tämän haavoittuvuuden ennen kuin kehittäjä havaitsee tai jolla on mahdollisuus korjata se.
Hyökkääjä voi sitten kirjoittaa ja toteuttaa hyväksikäyttökoodin, kun haavoittuvuus on edelleen avoin ja käytettävissä. Hyökkääjän julkaiseman hyökkäyksen jälkeen kehittäjä tunnustaa sen ja laatii korjaustiedoston korjaamaan ongelman. Kuitenkin, kun laastari on kirjoitettu ja käytetty, hyödyntämistä ei enää kutsuta zero-day -hyötyksi.
Windows 10: n nolla päivässä hyödynnetään lievennyksiä
Microsoft on onnistunut välttämään nollakohtaisia hyökkäyskohtauksia taistelemalla Hyödyntää lieventäminen ja Layered Detection Techniques Windows 10: ssä.
Microsoftin tietoturvaryhmät ovat vuosien varrella toimineet erittäin kovasti näiden hyökkäysten käsittelemiseksi. Microsoftin Edge-selaimen ja Windows Defender Advanced Threat Protectionin, Windows Defender Application Guard -sovelluksen kautta, joka tarjoaa pilvipalvelua, joka tunnistaa rikkomukset sisäänrakennetuilla Windows 10 -antureilla saatujen tietojen avulla, on onnistunut kiristää tietoturvaympäristöä Windows-ympäristössä ja lopettaa äskettäin löydettyjen ja jopa julkistamattomien haavoittuvuuksien haavoittuvuudet.
Microsoft uskoo vakaasti, että ennaltaehkäisy on parempaa kuin parannuskeino. Sellaisena se korostaa enemmän lieventämistekniikoita ja muita suojaavia kerroksia, jotka pystyvät pitämään tietoverkkohyökkäykset laittomasti, kun taas haavoittuvuudet on korjattu ja korjauksia asennetaan. Koska se on hyväksytty totuus, että haavoittuvuuksien etsiminen vie huomattavan paljon aikaa ja ponnisteluja ja on lähes mahdotonta löytää niitä kaikkia. Joten, kun edellä mainitut turvatoimet ovat käytössä, ne voivat auttaa estämään hyökkäyksiä, jotka perustuvat nollan päivään.
Viimeisimmät 2 ytimen tasoa hyödyntävät, perustuvat CVE-2016-7255 ja CVE-2016-7256 ovat esimerkkejä.
CVE-2016-7255 hyödyntää: Win32k-etuoikeuden korotus
Viime vuonna, STRONTIUM-hyökkäysryhmä käynnisti keihään-phishing-kampanjan, joka kohdistui pieneen joukkoon ajatuslaitoksia ja kansalaisjärjestöjä Yhdysvalloissa. Hyökkäyskampanjassa käytettiin kahta nollavuoden haavoittuvuutta Adobe Flash ja alas tason Windows-ytimen kohdistaa tietty joukko asiakkaita. He sitten vipuivat tyyppi-sekavuus'Haavoittuvuus win32k.sys: ssä (CVE-2016-7255), jotta voit saada korkeampia oikeuksia.
Haavoittuvuus tunnistettiin alun perin Googlen uhka-analyysiryhmä. Todettiin, että asiakkaat, jotka käyttävät Microsoft Edgeä Windows 10 -vuotispäivänä, olivat turvallisia versiosta, joka havaittiin luonnossa havaitulla hyökkäyksellä. Tämän uhkan torjumiseksi Microsoft koordinoi Googlen ja Adoben kanssa tämän haitallisen kampanjan selvittämiseksi ja laatimiseksi korjaustiedoston alhaisemmille Windows-versioille. Näiden rivien ohella kaikki Windowsin versiot testattiin ja vapautettiin sen mukaisesti päivityksenä myöhemmin julkisesti.
Hyökkääjän laatiman CVE-2016-7255-tietyn hyödyn hyödyntämisen perusteellinen selvitys paljasti, kuinka Microsoftin mittamistekniikat antavat asiakkaille mahdollisuuden suojata etukäteen hyödyntämiseltä, jopa ennen tietoturvapäivityksen vapauttamista haavoittuvuudesta.
Nykyaikaiset, kuten yllä mainitut hyödyt, luottavat luku-kirjoitus (RW) primitiiveihin koodin suorittamisen saavuttamiseksi tai lisäoikeuksien hankkimiseksi. Täällä myös hyökkääjät hankkivat RW-primitiivejä korruptoimalla tagWND.strName ytimen rakenne. Kääntämällä tekniikkaa koodinsa Microsoft havaitsi, että STRONTIUMin lokakuussa 2016 käyttämä Win32k-hyväksikäyttö uudelleenkäytti täsmälleen samaa menetelmää. Hyödynnä alkuperäisen Win32k-haavoittuvuuden jälkeen vioittunut tagWND.strName -rakenne ja käytti SetWindowTextW: tä kirjoittamaan mielivaltaisen sisällön missä tahansa ytimen muistiin.
Voit vähentää Win32k: n hyödyntämisen ja vastaavien hyökkäysten vaikutusta Windows loukkaavaa tietoturva-tiimiä (OSR) esitteli tekniikoita Windows 10 -vuotispäivityksessä, joka kykenee estämään tagWND.strName -elementin väärinkäytön. Lievennys suoritti lisätarkastukset perus- ja pituusalueille varmistaen, etteivät ne ole käyttökelpoisia RW-primitiiveille.
CVE-2016-7256 hyödyntää: avoimen fontin fonttien korkeus etuoikeus
Marraskuussa 2016 havaittiin tunnistamattomia toimijoita, jotka käyttivät virheitä Windows-kirjasinkirjasto (CVE-2016-7256) oikeuksien korottamiseksi ja Hankray-takaluukun asentamiseksi - implantti, joka suorittaa hyökkäykset pienikokoisissa tietokoneissa, joissa on vanhemmat Windows-versiot Etelä-Koreassa.
Toissijainen suoritettava tai käsikirjoitustyökalu, jota ei ole palautettu, näytti suorittavan fontin hylkäämisen, laskemisen ja valmistelemisen kovien koodausten avulla, joita tarvitaan ytimen API: n ja ytimen rakenteiden hyödyntämiseen kohdennetulla järjestelmällä. Järjestelmän päivittäminen Windows 8: stä Windows 10: n vuosipäivitykseen estänyt CVE-2016-7256: n hyväksikäytön pääsyn haavoittuvaan koodiin. Päivitys onnistui neutraloimaan paitsi tiettyjä hyödyntämistoimia myös niiden hyödyntämismenetelmiä.
johtopäätös: Kerrosta tunnistetaan ja hyödynnetään lieventämistä, Microsoft rikkoo onnistuneesti menetelmiä ja sulkee koko heikkouksien luokkia. Tämän seurauksena nämä lieventämistekniikat vähentävät merkittävästi hyökkäystapauksia, jotka saattavat olla käytettävissä tuleville nollapäivähoidoille.
Lisäksi Microsoft on pakottamalla hyökkääjiä etsimään uusia puolustuskerroksia tarjoamalla nämä lieventämistekniikat. Nyt esimerkiksi yksinkertainen taktinen lieventäminen suosittuja RW-primitiivejä vastaan pakottaa hyödyntäjiä lisäämään aikaa ja resursseja uusien hyökkäysreittien etsimiseen. Lisäksi siirtämällä fontin jäsentelykoodia eristettyyn konttiin, yhtiö on vähentänyt fontin vikojen todennäköisyyttä vektoreina oikeuksien laajentamiseksi.
Edellä mainittujen tekniikoiden ja ratkaisujen lisäksi Windows 10: n vuosipäivityksissä tuodaan esiin monia muita lieventämistekniikoita keskeisissä Windows-komponenteissa ja Microsoft Edge -selaimissa. Näin ylläpidetään järjestelmiä sellaisten hyökkäysten valikoimasta, jotka tunnistetaan julkistamattomiksi haavoittuvuuksiksi.
