Pat pirms izstrādātājs izveido plāksteri, lai noteiktu lietotnē atklāto ievainojamību, uzbrucējs to atbrīvo ļaunprātīgu programmatūru. Šis notikums tiek saukts par Zero dienu izmantošana. Katru reizi, kad uzņēmuma izstrādātāji veido programmatūru vai lietojumprogrammu, ir raksturīgi riski - tajā varētu būt ievainojamība. Draudi var atklāt šo neaizsargātību, pirms izstrādātājs atklāj vai var to novērst.
Pēc tam uzbrucējs var rakstīt un ieviest ekspluatācijas kodu, kamēr neaizsargātība joprojām ir atvērta un pieejama. Pēc tam, kad uzbrucējs ir atbrīvojis exploit, izstrādātājs to atzīst un izveido plāksteri problēmas labošanai. Tomēr, tiklīdz plāksteris ir uzrakstīts un izmantots, exploit vairs netiek saukts par nulles dienas ekspluatāciju.
Windows 10 Zero dienu izmantojiet mazināšanas iespējas
Microsoft ir izdevies novērst nulles dienu ekspluatācijas uzbrukumus, cīnoties ar Ekspluatācijas mazināšana un Slāņa noteikšanas tehnikas programmā Windows 10.
Gadu gaitā Microsoft drošības komandas ir smagi strādā, lai novērstu šos uzbrukumus. Izmantojot īpašus rīkus, piemēram, Windows Defender Application Guard, kas Microsoft Edge pārlūkprogrammai nodrošina drošu virtualizētu slāni, un Windows Defender Advanced Threat Protection, mākoņa arhitektūras pakalpojums, kas identificē pārkāpumus, izmantojot iebūvēto Windows 10 sensoru datus, kurus tas ir pārvaldījis pastiprināt drošības sistēmu Windows platformā un pārtraukt jaunizveidoto un pat nepieejamo ievainojamību izmantošanu.
Microsoft stingri uzskata, ka profilakse ir labāka nekā ārstēšana. Tādējādi tas vairāk pievērš uzmanību seku mazināšanas tehnoloģijām un papildu aizsardzības slāņiem, kas var uzturēt kiberuzbrukumus līcī, bet neaizsargātības tiek fiksētas un ielāpi tiek izvietoti. Tā kā ir pieņemta patiesība, ka neaizsargātību konstatēšana prasa daudz laika un pūļu, un gandrīz neiespējami tos visus atrast. Tādējādi, ieviešot iepriekš minētos drošības pasākumus, var palīdzēt novērst uzbrukumus, kuru pamatā ir nulles dienas ekspluatācija.
Jaunākie 2 kodola līmeņa lietotāji, pamatojoties uz CVE-2016-7255 un CVE-2016-7256 ir konkrēts gadījums.
CVE-2016-7255 izmantošana: Win32k privilēģiju paaugstināšana
Pagājušajā gadā STRONTIUM uzbrukumu grupa uzsāka kampaņu par pikšķerēšanu, kuras mērķauditorija bija nedaudzas ideju laboratorijas un nevalstiskas organizācijas Amerikas Savienotajās Valstīs. Uzbrukuma kampaņā tika izmantotas divas nulles dienas ievainojamības Adobe Flash un lejupvērstā Windows kodols, lai mērķētu uz noteiktu klientu loku. Pēc tam viņi piesaistīja " tipa sajaukšana"Ievainojamība win32k.sys (CVE-2016-7255), lai iegūtu paaugstinātas privilēģijas.
Ievainojamību sākotnēji identificēja Google draudu analīzes grupa. Tika konstatēts, ka klienti, kas izmanto Microsoft Edge Windows 10 jubilejas atjauninājumā, bija droši no šī uzbrukuma versijām, kas novērotas savvaļā. Lai apkarotu šo draudu, Microsoft sadarbojās ar Google un Adobe, lai izpētītu šo ļaunprātīgo kampaņu un izveidotu plāksteri Windows lejupielādes versijām. Šajās līnijās visu Windows versiju ielāpi tika pārbaudīti un attiecīgi atbrīvoti, jo atjauninājums vēlāk, publiski.
Uzbrucēja izstrādātā CVE-2016-7255 konkrētā izmantojuma iekšējā izpēte atklāja, kā Microsoft kliedēšanas paņēmieni klientiem sniedz priekšrocības pret ekspluatāciju pat pirms konkrētā atjauninājuma, kas nosaka neaizsargātību, izlaišanu.
Mūsdienu izmantošana, piemēram, iepriekš minētā, balstās uz lasīšanas un rakstīšanas (RW) primitīviem, lai panāktu koda izpildi vai iegūtu papildu privilēģijas. Arī šeit uzbrucēji ieguvuši RW primitīvus, tos sagraujot tagWND.strName kodola struktūra. Reversīvā inženierijas kodeksā Microsoft konstatēja, ka Win32k izmantojums, ko STRONTIUM izmantoja 2016. gada oktobrī, atkārtoti izmantoja precīzu metodi. Izmantojot pēc sākotnējās Win32k neaizsargātības, tiek bojāta tagWND.strName struktūra un tiek izmantota SetWindowTextW, lai rakstītu patvaļīgu saturu jebkurā kodola atmiņā.
Lai mazinātu Win32k izmantošanas un līdzīgu ekspluatācijas ietekmi, Windows uzbrukuma drošības izpētes komanda (OSR) ieviesa metodes Windows 10 jubilejas atjauninājumā, kas var novērst ļaunprātīgu tagWND.strName izmantošanu. Riska mazināšanas rezultātā tika veiktas papildu pārbaudes attiecībā uz bāzes un garuma laukiem, pārliecinoties, ka tie nav izmantojami RW primitīviem.
CVE-2016-7256 exploit: atvērtā tipa fonta privilēģiju palielinājums
2016. gada novembrī konstatēja, ka nenoskaidroti dalībnieki izmantoja trūkumu Windows fontu bibliotēka (CVE-2016-7256), lai paaugstinātu privilēģijas un instalētu Hankray sētas durvis - implantu, lai veiktu uzbrukumus mazu apjomu datoros ar vecākām Windows versijām Dienvidkorejā.
Otrs izpildāmā vai skripta rīks, kas netika atveseļots, šķietami veica fonta izmantošanas nolaišanas darbību, aprēķinot un sagatavojot cietās kodēšanas kompensācijas, kas vajadzīgas, lai izmantotu kodola API un kodētās struktūras mērķētajā sistēmā. Sistēmas atjaunināšana no sistēmas Windows 8 līdz Windows 10 Anniversary Update neļāva izmantot CVE-2016-7256 kodu, lai piekļūtu neaizsargātam kodam. Atjauninājums spēja neitralizēt ne tikai konkrētus ekspluatācijas gadījumus, bet arī to izmantošanas metodes.
Secinājums: Pateicoties slāņveida atklāšanai un to mazināšanai, Microsoft veiksmīgi pārtrauc izmantot metodes un aizver visas ievainojamības klases. Tā rezultātā šīs mazināšanas metodes ievērojami samazina uzbrukuma gadījumus, kas varētu būt pieejami nākotnes nulles dienas ekspluatācijā.
Turklāt, sniedzot šīs seku mazināšanas metodes, Microsoft ir piespiedusi uzbrucējus atrast veidus, kā apiet jaunus aizsardzības līmeņus. Piemēram, tagad pat vienkāršā taktiskā mazināšana pret populāriem RW primitīviem spēkiem ļauj autoriem izmantot vairāk laika un resursus, lai atrastu jaunus uzbrukuma maršrutus. Arī pārvietojot fonta parsēšanas kodu izolētā konteinerā, uzņēmums ir samazinājis varbūtību, ka fontu kļūdas tiks izmantotas kā privileģiju eskalācijas vektori.
Papildus iepriekš minētajiem paņēmieniem un risinājumiem, Windows 10 gadadienas atjauninājumi ievieš daudzas citas riska mazināšanas metodes galvenajos Windows komponentos un Microsoft Edge pārlūkā, tādējādi aizsargājot sistēmas no virknes lietotāju, kas identificēti kā nepieejami trūkumi.
