Čak i prije nego što programer stvori zakrpu za popravljanje ranjivosti otkrivene u aplikaciji, napadač oslobađa zlonamjerni softver za nju. Ovaj se događaj zove kao Zero-dan iskorištavanje, Kad god programeri tvrtke stvaraju softver ili aplikaciju, inherentna opasnost - u njemu bi mogla postojati ranjivost. Prijetnja glumac može uočiti ovu ranjivost prije nego što programer otkrije ili ima priliku popraviti.
Napadač može potom napisati i implementirati eksploatacijski kod dok je ranjivost još uvijek otvorena i dostupna. Nakon oslobađanja eksploatacije od strane napadača, programer ga priznaje i stvara zakrpu kako bi riješio problem. Međutim, nakon što je napisana i korištena flaster, iskorištavanje se više ne naziva nultodnevnim eksploatacijom.
Windows 10 Zero-day iskoristiti ublažavanja
Microsoft je uspio spriječiti Zero-day iskorištavanje napada boreći se sa Iskoristiti ublažavanje i Tehnika slojevitog otkrivanjau sustavu Windows 10.
Microsoftovi timovi za sigurnost tijekom godina rade iznimno teško rješavati ove napade. Putem posebnih alata kao što je Windows Defender Application Guard, koji pruža siguran virtualizirani sloj za preglednik Microsoft Edge i Windows Defender Advanced Threat Protection, uslugu temeljenu na oblaku koja identificira kršenja pomoću podataka iz ugrađenih Windows 10 senzora, uspjela je zategnuti sigurnosni okvir na Windows platformi i zaustaviti iskorištavanje nedavno otkrivenih, pa čak i neotkrivenih ranjivosti.
Microsoft čvrsto vjeruje, prevencija je bolja od izlječenja. Kao takav, stavlja se veći naglasak na tehnike ublažavanja i dodatne obrambene slojeve koji mogu zadržati kibernetizirane napade dok se ranjivosti fiksiraju i zakrpe se primjenjuju. Budući da je prihvaćena istina da pronalaženje ranjivosti zauzimaju znatnu količinu vremena i truda i praktički je nemoguće pronaći sve njih. Dakle, nakon što gore navedene sigurnosne mjere mogu pomoći u sprečavanju napada na temelju nultih dana iskorištavanja.
Nedavna dva kvarsa na razini kernela na temelju CVE-2016-7255 i CVE-2016-7256 su slučaj u točki.
CVE-2016-7255 iskorištavaju: Win32k povisivanje privilegija
Prošle godine, STRONTIUM napadačka skupina pokrenula je kampanju protiv krađe koplja koji cilja mali broj think tankova i nevladinih organizacija u Sjedinjenim Državama. Kampanja napada koristila su dva nula-dana ranjivost u sustavu Adobe Flash i kernela sustava Windows na nižim razinama kako bi ciljali određeni skup korisnika. Zatim su iskoristili ' tip-zbunjenost'Ranjivost u win32k.sys (CVE-2016-7255) kako bi stekla povišene privilegije.
Ranjivost je izvorno identificirana od strane Googleova skupina za analizu prijetnji, Pronađeno je da korisnici koji koriste Microsoft Edge na Windows 10 godišnjici ažuriranja bili su sigurni od verzije napada koji se opažaju u divljini. Da bi se spriječio ova prijetnja, Microsoft je koordiniran s Googleom i Adobeom kako bi istražio ovu zlonamjernu kampanju i stvorio zakrpu za verzije sustava Windows na nižim razinama. Uz ove linije, zakrpe za sve verzije sustava Windows testirane su i puštene u skladu s tim kao ažuriranje kasnije, javno.
Detaljna istraga o internim specifičnim eksploatacijama za CVE-2016-7255 koju je izradio napadač otkrio je kako Microsoftove tehnike ublažavanja pružaju korisnicima preemptivan zaštitu od iskorištavanja, čak i prije objavljivanja određenog ažuriranja kojim se utvrđuje ranjivost.
Moderni iskorištavanje kao što je gore navedeno, oslanjaju se na primitive za čitanje i pisanje (RW) kako bi se postiglo izvršavanje koda ili dobivaju dodatne pogodnosti. I ovdje, napadači su dobivali RW primitive korumpiranjem tagWND.strName struktura kernela. Kroz reverznu inženjering svoj kod, Microsoft je utvrdio da je Win32k iskorištavanje koje je koristio STRONTIUM u listopadu 2016. ponovio isti način. Iskorištavanje, nakon inicijalne ranjivosti Win32k, oštećeno je strukture tagWND.strName i koristi SetWindowTextW za pisanje proizvoljnog sadržaja bilo gdje u memoriji kernela.
Da bi ublažio utjecaj Win32k iskorištava i sličnih eksploatacija, Windows ofenziva tim za istraživanje sigurnosti (OSR) uvela tehnike u ažuriranju Windows 10 godišnjice koja je sposobna spriječiti zlouporabu uporabe tagWND.strName. Mjerenje je izvršilo dodatne provjere za polja baze i duljine, pazeći da nisu korisne za RW primitive.
CVE-2016-7256 iskorištavajte: otvaranje slovnog povišenja povlastice
U studenome 2016. Otkriveni su neidentificirani glumci iskorištavanjem nedostatka u Biblioteka fonta sustava Windows (CVE-2016-7256) za podizanje povlastica i instaliranje Hankrayovih stražnjih vrata - implantat za izvršavanje napada u malim količinama računala s starijim verzijama sustava Windows u Južnoj Koreji.
Sporedni izvršni ili skriptni alat, koji nije bio oporavljen, čini se da provodi akciju ispuštanja fontova iskorištavanja, izračuna i pripreme hardcodiranih offseta potrebnih za iskorištavanje API kernela i strukture kernela na ciljani sustav. Ažuriranje sustava sa sustava Windows 8 na Windows 10 godišnjicu ažuriranja spriječio je iskorištavanje koda za CVE-2016-7256 kako bi došao do ranjivog koda. Ažuriranje je uspjelo neutralizirati ne samo specifične eksploatacije već i njihove metode eksploatacije.
Zaključak: Putem slojevitih otkrivanja i iskorištavanja ublažavanja, Microsoft uspješno prekida metode eksploatacije i zatvara cijele klase ranjivosti. Kao rezultat toga, ove tehnike ublažavanja znatno smanjuju napade koji bi mogli biti dostupni budućim nultoškim eksploatacijama.
Štoviše, isporukom tih tehnika ublažavanja, Microsoft je prisilio napadače da pronađu putove oko novih obrambenih slojeva. Na primjer, sada čak i jednostavna taktička ublažavanje protiv popularnih RW primitiva prisiljava autore iskorištavanja da troše više vremena i resursa u pronalaženju novih napadačkih pravaca. Također, premještanjem kôda za analizu fontova u izolirani spremnik, tvrtka je smanjila vjerojatnost korištenja fontova fontova kao vektora za eskalaciju privilegija.
Osim gore spomenutih tehnika i rješenja, Windows 10 godišnjica ažuriranja uvode mnoge druge tehnike ublažavanja u osnovnim komponentama sustava Windows i pregledniku Microsoft Edge čime se čuvaju sustavi iz raspona iskorištavanja identificiranih kao neotkrivene ranjivosti.
