Net prieš tai, kai kūrėjas sukuria pataisą, skirtą programoje aptiktiems pažeidimams nustatyti, užpuolikas išleidžia kenkėjišką programą. Šis įvykis vadinamas Nulis dienų išnaudokite. Kai įmonės kūrėjai kuria programinę įrangą ar programą, būdingas pavojus - gali būti pažeidžiamumas. Griovėjas gali pastebėti šį pažeidžiamumą prieš tai, kai kūrėjas atranda arba turi galimybę jį ištaisyti.
Tuomet užpuolikas gali parašyti ir įdiegti eksploatavimo kodą, o pažeidžiamumas vis dar yra atviras ir prieinamas. Užpuolikas paleidžia išnaudojimą, kūrėjas jį pripažįsta ir sukuria pataisą problemai išspręsti. Tačiau, kai parašas yra parašytas ir naudojamas, išnaudojimo nebėra vadinamas "nulinio dienos" išnaudojimu.
"Windows 10 Zero-day" išnaudokite švelninimo priemones
"Microsoft" sugebėjo išvengti "zero-day Exploit Attacks", kovodamas su Išnaudojimo mažinimas ir Sluoksnių aptikimo technika"Windows 10".
Per keletą metų "Microsoft" saugumo komandos labai sunkiai dirbo, kad išspręstų šiuos išpuolius. Savo specialiomis priemonėmis, tokiomis kaip "Windows Defender Application Guard", kuri užtikrina saugų "Microsoft Edge" naršyklės virtualizuotą sluoksnį, ir "Windows Defender Advanced Threat Protection" - tai debesyje pagrįsta paslauga, kuria nustatomi pažeidimai, naudojant "Windows 10" daviklių duomenis, kuriuos jis valdė sugriežtinti saugumo sistemą "Windows" platformoje ir sustabdyti naujai atrastų ir net nepaskelbtų pažeidžiamų vietų naudojimą.
"Microsoft" tvirtai tiki, kad prevencija yra geriau nei gydymas. Tokiu būdu daugiau dėmesio skiriama švelninimo metodams ir papildomiems gynybiniams sluoksniams, kurie gali užkirsti kelią kibernetinėms atakoms, o pažeidžiamumas yra nustatomas ir pataisos yra išdėstytos. Kadangi yra pripažinta tiesa, kad pažeidžiamumo nustatymas užima daug laiko ir pastangų, ir jų praktiškai neįmanoma rasti. Taigi, turėdamas aukščiau minėtas saugumo priemones, galima užkirsti kelią išpuolių, susijusių su nulinio dienos išnaudojimu.
Naujausi 2 branduolio lygio naudojimo būdai, pagrįsti CVE-2016-7255 ir CVE-2016-7256 yra konkretus atvejis.
CVE-2016-7255 exploit: Win32k privilegijos padidinimas
Praėjusiais metais STRONTIUM užpuolimo grupė pradėjo kampanijų filmo kampaniją, skirtą nedidelei JAV ekspertų grupei ir nevyriausybinėms organizacijoms. Atakos kampanijoje buvo naudojamos dvi nulinės dienos pažeidžiamumai Adobe Flash ir žemesnio lygio "Windows" branduolys nukreipti į konkretų klientų rinkinį. Tada jie paskatino " tipo sumišimas"Pažeidžiamumas win32k.sys (CVE-2016-7255), siekiant įgyti padidintą privilegiją.
Pažeidžiamumą iš pradžių nustatė "Google" grėsmių analizės grupė. Buvo nustatyta, kad vartotojai, naudojantys "Microsoft Edge" "Windows 10" jubiliejaus atnaujinime, buvo saugūs nuo šio užpuolimo, kuris pastebėtas lauke. Siekdama kovoti su šia grėsme, "Microsoft" suderino su "Google" ir "Adobe", kad ištirtų šią piktavališką kampaniją ir sukurtų pataisą "Windows" žemesnio lygio versijoms. Be to, visos "Windows" versijos pataisos buvo išbandytos ir atitinkamai išleistos vėliau kaip viešai.
Kruopštus specifinio "CVE-2016-7255" panaudojimo, kurį sukūrė užpuolikas, vidinės būklės tyrimas parodė, kaip "Microsoft" švelninimo technologijos suteikė vartotojams apsaugą nuo išnaudojimo net prieš išleidus konkretų pažeidžiamumą atnaujinamą atnaujinimą.
Šiuolaikiniai išnaudojimai, tokie kaip pirmiau minėti, remiasi skaitymo ir rašymo (RW) primityviais, norint pasiekti kodą arba gauti papildomų privilegijų. Čia taip pat užpuolikai įsigijo RW primityvus, sugadindami tagWND.strName branduolio struktūra. Atkūrindamas savo kodą, "Microsoft" nustatė, kad "Win32k" eksploatavimas, kurį STRONTIUM naudojo 2016 m. Spalio mėn., Pakartotinai panaudojo tą patį metodą. Išnaudojus, po pradinio Win32k pažeidžiamumo, sugadinta tagWND.strName struktūra ir naudojama SetWindowTextW rašyti savavališką turinį bet kur branduolio atmintyje.
Siekiant sušvelninti "Win32k" išnaudojimo ir panašių eksploatacinių savybių poveikį, " Windows" įžeidžiančios saugos tyrimų grupė (OSR) pristatė "Windows 10" jubiliejaus atnaujinimo metodus, galinčius užkirsti kelią piktnaudžiavimui tagWND.strName. Švelninantys veiksmai atliko papildomus pagrindo ir ilgio laukų patikrinimus, užtikrinant, kad jie nebūtų naudojami RW primityvams.
CVE-2016-7256 exploit: atvirojo tipo šrifto privilegijos padidinimas
2016 m. Lapkričio mėn. Nenustatytiems aktoriams buvo nustatyta, kad naudojamasi trūkumu " Windows" šriftų biblioteka (CVE-2016-7256) pakelti privilegijas ir įdiegti "Hankray" užpakalines duris - implantas, skirtas kompiuteriams su senesnėmis "Windows" versijomis Pietų Korėjoje atlikti atakų mažos apimties.
Antrinis vykdomojo ar scenarijaus įrankis, kuris nebuvo atkurtas, atrodo, kad buvo atlikti šnipinėjimo eksploatacijos nutraukimo veiksmai, apskaičiuojant ir rengiant kietojo kodo kompensacijas, kurių reikia norint išnaudoti branduolio API ir branduolio struktūras tikslinėje sistemoje. Sistemos atnaujinimas nuo "Windows 8" iki "Windows 10" jubiliejaus atnaujinimo neleido naudoti CVE-2016-7256 kodo, kad būtų pasiektas pažeidžiamas kodas. Atnaujinant pavyko neutralizuoti ne tik konkrečius išnaudojimus, bet ir jų išnaudojamus metodus.
Išvada: Per daugybinį aptikimą ir švelninimo išnaudojimą "Microsoft" sėkmingai pažeidžia metodus ir uždaro visas pažeidžiamumo klases. Todėl šie švelninimo būdai žymiai sumažina išpuolių atvejus, kurie gali būti naudojami būsimiems nulinės dienos išnaudojimams.
Be to, pateikdama šiuos švelninimo būdus, "Microsoft" priversti užpuolikų rasti būdų, kaip rasti naujų gynybos sluoksnių. Pavyzdžiui, dabar net paprastas taktinis mažinimas prieš populiarius RW primityvus verčia išnaudotus autorius praleisti daugiau laiko ir išteklių ieškant naujų atakų maršrutų. Be to, perkeldami šrifto parsavimo kodą į atskirtą konteinerį, bendrovė sumažino tikimybę, kad šriftų klaidos bus naudojamos kaip privilegijų eskalavimo vektoriai.
Be pirmiau minėtų metodų ir sprendimų, "Windows 10" jubiliejų atnaujinimai įveda daugybę kitų švelninimo metodų pagrindiniuose "Windows" komponentuose ir "Microsoft Edge" naršyklėje, tokiu būdu apsaugant sistemas nuo naudojamų asmenų, kurie yra neatskleidžiami pažeidžiamumai.
