Anche prima che uno sviluppatore crei una patch per correggere la vulnerabilità scoperta nell'app, un utente malintenzionato rilascia malware per questo. Questo evento è chiamato come Exploit zero-day. Ogni volta che gli sviluppatori di una società creano software o un'applicazione, il pericolo intrinseco - in esso potrebbe esistere una vulnerabilità. L'attore delle minacce può individuare questa vulnerabilità prima che lo sviluppatore scopra o abbia la possibilità di risolverlo.
L'utente malintenzionato può quindi, scrivere e implementare un codice di exploit mentre la vulnerabilità è ancora aperta e disponibile. Dopo il rilascio dell'exploit da parte dell'utente malintenzionato, lo sviluppatore lo riconosce e crea una patch per risolvere il problema. Tuttavia, una volta scritta e utilizzata una patch, l'exploit non viene più chiamato exploit zero-day.
Mitigazioni degli exploit Zero-day di Windows 10
Microsoft è riuscita a evitare attacchi exploit Zero-day combattendo con Exploit Mitigation e Tecnica di rilevamento stratificatas in Windows 10.
I team di sicurezza Microsoft nel corso degli anni hanno lavorato duramente per affrontare questi attacchi. Attraverso i suoi strumenti speciali come Windows Defender Application Guard, che fornisce un livello virtualizzato sicuro per il browser Microsoft Edge e Windows Defender Advanced Threat Protection, un servizio basato su cloud che identifica le violazioni utilizzando i dati dai sensori integrati di Windows 10, è gestito stringere il framework di sicurezza sulla piattaforma Windows e interrompere gli exploit delle vulnerabilità scoperte e persino non divulgate.
Microsoft crede fermamente che prevenire sia meglio che curare. In quanto tale, pone maggiore enfasi sulle tecniche di mitigazione e sui livelli difensivi aggiuntivi che possono tenere a bada gli attacchi informatici mentre vengono riparate le vulnerabilità e vengono implementate le patch. Perché è una verità accettata che la ricerca di vulnerabilità richiede molto tempo e sforzi ed è praticamente impossibile trovarli tutti. Quindi, avere le misure di sicurezza sopra menzionate in atto può aiutare a prevenire attacchi basati su exploit zero-day.
Ultimi 2 exploit a livello di kernel, basati su CVE-2016-7255 e CVE-2016-7256 ne sono un esempio.
Exploit CVE-2016-7255: elevazione del privilegio Win32k
L'anno scorso, il Gruppo d'attacco STRONZIUM ha lanciato una campagna di spear-phishing indirizzata a un piccolo numero di think tank e organizzazioni non governative negli Stati Uniti. La campagna di attacco ha utilizzato due vulnerabilità zero-day in Adobe Flash e il kernel di Windows di livello inferiore per indirizzare un gruppo specifico di clienti. Hanno poi fatto leva sul ' tipo-confusione'Vulnerabilità in win32k.sys (CVE-2016-7255) per ottenere privilegi elevati.
La vulnerabilità è stata originariamente identificata da Gruppo di analisi delle minacce di Google. È stato rilevato che i clienti che utilizzano Microsoft Edge su Windows 10 Anniversary Update erano al sicuro dalle versioni di questo attacco osservate in natura. Per contrastare questa minaccia, Microsoft ha coordinato con Google e Adobe per indagare su questa campagna dannosa e creare una patch per le versioni di Windows di livello inferiore. Lungo queste linee, le patch per tutte le versioni di Windows sono state testate e rilasciate di conseguenza come aggiornamento in seguito, pubblicamente.
Un'indagine approfondita sull'interno dello specifico exploit per CVE-2016-7255 realizzato dall'attaccante ha rivelato come le tecniche di mitigazione di Microsoft hanno fornito ai clienti una protezione preventiva dall'exploit, anche prima del rilascio dell'aggiornamento specifico che corregge la vulnerabilità.
Gli exploit moderni come quelli sopra citati si basano su primitive di lettura-scrittura (RW) per ottenere l'esecuzione di codice o acquisire privilegi aggiuntivi. Anche qui, gli aggressori hanno acquisito i primitivi RW corrompendoli tagWND.strName struttura del kernel. Con il reverse engineering del codice, Microsoft ha rilevato che l'exploit Win32k utilizzato da STRONTIUM a ottobre 2016 ha riutilizzato lo stesso identico metodo. L'exploit, dopo la vulnerabilità iniziale di Win32k, ha danneggiato la struttura tagWND.strName e utilizzato SetWindowTextW per scrivere contenuto arbitrario in qualsiasi punto della memoria del kernel.
Per mitigare l'impatto dell'exploit Win32k e degli exploit simili, il Windows Offensive Security Research Team (OSR) ha introdotto tecniche nell'Aggiornamento di Windows 10 in grado di impedire l'uso abusivo di tagWND.strName. La mitigazione ha eseguito controlli aggiuntivi per i campi di base e di lunghezza, assicurandosi che non siano utilizzabili per i primitivi RW.
CVE-2016-7256 exploit: Apri tipo di carattere elevazione dei privilegi
A novembre 2016, sono stati rilevati attori non identificati che hanno sfruttato un difetto nel Libreria di caratteri di Windows (CVE-2016-7256) per elevare i privilegi e installare la backdoor Hankray: un impianto per effettuare attacchi a basso volume nei computer con versioni precedenti di Windows in Corea del sud.
L'eseguibile secondario o lo strumento di script, che non è stato ripristinato, sembra svolgere l'azione di eliminare l'exploit dei caratteri, calcolare e preparare gli offset hardcoded necessari per sfruttare l'API del kernel e le strutture del kernel sul sistema di destinazione. L'aggiornamento del sistema da Windows 8 a Windows 10 Anniversary Update ha impedito al codice exploit di CVE-2016-7256 di raggiungere il codice vulnerabile. L'aggiornamento è riuscito a neutralizzare non solo gli exploit specifici ma anche i loro metodi di exploit.
Conclusione: Tramite il rilevamento a strati e la mitigazione degli exploit, Microsoft interrompe con successo i metodi di exploit e chiude intere classi di vulnerabilità. Di conseguenza, queste tecniche di mitigazione stanno riducendo in modo significativo le istanze di attacco che potrebbero essere disponibili per futuri exploit zero-day.
Inoltre, fornendo queste tecniche di mitigazione, Microsoft ha costretto gli aggressori a trovare soluzioni per nuovi livelli di difesa. Ad esempio, ora, anche la semplice mitigazione tattica contro i primitivi RW popolari costringe gli autori degli exploit a dedicare più tempo e risorse alla ricerca di nuove rotte di attacco. Inoltre, spostando il codice di analisi dei caratteri in un contenitore isolato, la società ha ridotto la probabilità che i bug dei caratteri vengano utilizzati come vettori per l'escalation dei privilegi.
Oltre alle tecniche e alle soluzioni sopra menzionate, Windows 10 Anniversary Updates introduce molte altre tecniche di mitigazione nei componenti di base di Windows e nel browser Microsoft Edge, salvaguardando così i sistemi dall'intervallo di exploit identificati come vulnerabilità non divulgate.
