Még mielőtt egy fejlesztő létrehozna egy patch-et az alkalmazásban felfedezett biztonsági rés rögzítéséhez, a támadó károkat okozhat. Ezt az eseményt úgy hívják, mint Nulla-napos kizsákmányolás. Amikor egy cég fejlesztője szoftvert vagy alkalmazást hoz létre, a benne rejlő veszély - rengeteg sebezhetőség lehet benne. A fenyegető szereplő észreveheti ezt a sérülékenységet, mielőtt a fejlesztő észlelné, vagy megjavítaná a lehetőséget.
A támadó ezután írhat és hajthatja végre a kizsákmányoló kódot, amíg a biztonsági rés még nyitva áll és rendelkezésre áll. Miután a támadó kihasználta a kizsákmányolást, a fejlesztő elismeri és létrehoz egy javítást a probléma megoldásához. Azonban, ha egy javítást írnak és használnak, a kizsákmányolást már nem nevezik nulla napos kizsákmányolásnak.
A Windows 10 nulla napos kiaknázása kihasználása
A Microsoft ellenfelei elleni küzdelemben sikerült elkerülnie a napi kizsákmányolást Kihasználják a mérséklést és Réteges detektálási technikas Windows 10 rendszerben.
A Microsoft biztonsági csapata az évek során rendkívül keményen dolgozott a támadások kezelésére. A Microsoft Edge böngészőjével és a Windows Defender Advanced Threat Protection szoftverrel, a Windows Defender Application Guard segítségével olyan felhőalapú szolgáltatással, amely a beépített Windows 10-es szenzorok adatainak felhasználásával szembesíti a sérüléseket, a Windows platform biztonsági keretének szigorítása és az újonnan felfedezett, sőt még nyilvánosságra nem hozott biztonsági rések kizárása.
A Microsoft szilárd meggyőződése szerint a megelőzés jobb, mint a gyógyítás. Így nagyobb hangsúlyt fektet az enyhítő technikákra és további védekező rétegekre, amelyek a cyber-támadásokat folyamatosan tartják, miközben a sebezhetőségeket rögzítik és a javításokat telepítik. Mert elfogadott igazság, hogy a sebezhetőségek felkutatása jelentős időt és erőfeszítéseket igényel, és gyakorlatilag lehetetlen megtalálni mindet. Tehát a fent említett biztonsági intézkedések meghozatala segíthet a zéró napi kizsákmányolásokon alapuló támadások megelőzésében.
Az elmúlt 2 kernelszintű kihasználás alapja CVE-2016-7255 és CVE-2016-7256 egy konkrét eset.
A CVE-2016-7255 kihasználja: a Win32k jogosultság emelését
Tavaly a STRONTIUM támadócsoport elindított egy lándzstalálkozó kampányt, amely az Egyesült Államok kis számú kutatóközpontjaira és nem kormányzati szervezetekre irányult. A támadási kampány két nulla napos sebezhetőséget használt a következőben: Adobe Flash és a lefelé mutató Windows rendszermagot, hogy meghatározott számú vevőt célozhasson meg. Ezután a típus-zavar'Vulnerability in win32k.sys (CVE-2016-7255), hogy magasabb jogosultságokat érjen el.
A biztonsági rést eredetileg a A Google Threat Analysis Group. Megállapították, hogy a Microsoft Edge-t használó ügyfelek a Windows 10 évfordulós frissítésénél biztonságban voltak a vadon megfigyelt támadás verziói. Ennek a fenyegetésnek a leküzdéséhez a Microsoft koordinálta a Google-t és az Adobe-t, hogy vizsgálja meg ezt a rosszindulatú kampányt, és hozzon létre egy javítást a lefelé irányuló Windows verziókhoz. Ezen sorok mellett a Windows minden verziójára vonatkozó javításokat később, nyilvánosságra hozva tesztelték és kiadták.
A támadó által kidolgozott CVE-2016-7255 specifikus kizsákmányolás belső elemeinek alapos vizsgálata során kiderült, hogy a Microsoft mérséklési technikái a kizsákmányolás elővigyázatos védelmet nyújtottak az ügyfeleknek még a sebezhetőséget rögzítő konkrét frissítés kiadása előtt is.
A fentiekhez hasonló modern kihasználások az olvasási-írási (RW) primitívumokra támaszkodnak a kódfuttatás elérése vagy további jogosultságok elérése érdekében. Itt is a támadók a RW primitívumokat korruptodással szerezték meg tagWND.strName a rendszermag szerkezete. A kód megfordításával a Microsoft úgy találta, hogy a STRONTIUM által használt 2016 októberi Win32k exploitáció ugyanazt a módszert használta újra. A kizsákmányolás a kezdeti Win32k sebezhetőség után sérült a tagWND.strName struktúrában, és a SetWindowTextW segítségével tetszőleges tartalmakat írtak a kernel memóriájában.
A Win32k kihasználásának és hasonló kihasználásának hatásainak mérséklése érdekében a Windows támadó biztonsági kutatócsoport (OSR) bemutatta a Windows 10 évfordulós frissítésének technikáit, amelyek megakadályozhatják a tagWND.strName visszaélésszerű használatát. Az enyhítés elvégezte az alap- és hosszmezők további ellenőrzését annak biztosítása érdekében, hogy azok ne használhatók RW primitívumok esetén.
CVE-2016-7256 exploit: Nyilvános betűtípus eleváció a kiváltság
2016 novemberében azonosítatlan szereplőket észleltek, amelyek kihasználják a hibát Windows betűtípus-könyvtár (CVE-2016-7256) a kiváltságok emelésére és a Hankray hátsó ajtó felszerelésére - egy olyan implantátumot, amelynek segítségével a Windows korábbi verzióival rendelkező számítógépek alacsony volumenűek.
A másodlagos végrehajtható vagy szkript eszköz, amelyet nem sikerült visszaállítani, úgy tűnt, hogy végrehajtja a kernel API és a rendszermag struktúrák kiaknázásához szükséges kemény kódolt eltolások kihasználásának, kiszámításának és előkészítésének a műveletét. A rendszer frissítése a Windows 8-ról a Windows 10 évfordulós frissítésére megakadályozta, hogy a CVE-2016-7256 kizsákmányolási kódja sebezhető kódot érjen el. A frissítés nemcsak a specifikus kihasználásokat, hanem a kizsákmányoló módszereket semlegesítette.
Következtetés: Réteges észlelés és az enyhülés kihasználása révén a Microsoft sikeresen feltöri a kizsákmányoló módszereket, és lezárja az egész sebezhetőségi osztályokat. Ennek eredményeképpen ezek a mérséklési technikák jelentősen csökkentik a támadási eseteket, amelyek a későbbi nulla napi kihasználásokhoz rendelkezésre állnak.
Ezen túlmenően, ezeknek a csökkentési technikáknak a végrehajtásával a Microsoft arra kényszerítette a támadókat, hogy megtalálják az új védelmi rétegek körül. Például, még az egyszerű taktikai enyhítés a népszerű RW primitívek ellen is arra kényszeríti a kihasználó szerzőket, hogy több időt és erőforrásokat köthessenek az új támadási útvonalak megtalálásában. Emellett a betűkészlet-feldolgozási kódot egy elszigetelt tárolóba való áthelyezésekor a vállalat csökkentette annak valószínűségét, hogy a betűtípus-hibák vektorokként használhatók a kiváltságok fokozásához.
A fent említett technikák és megoldások mellett a Windows 10 évfordulós frissítések számos más enyhítő technikát vezetnek be a központi Windows-összetevőkbe és a Microsoft Edge böngészőjébe, ezáltal megvédve a rendszereket a nem nyilvános biztonsági résekként azonosított kihasználási területektől.
