Isegi enne, kui arendaja loob rakenduses leitud haavatavuse parandamise plaastri, vabastab ründaja sellest pahavara. Seda sündmust kutsutakse Zero päevast ära. Kui ettevõtte arendajad loovad tarkvara või rakenduse, on see omane oht - seal võib esineda haavatavust. Ohuohtja võib selle haavatavuse tuvastada enne, kui arendaja avastab või võib seda parandada.
Seejärel võib ründaja kirjutada ja rakendada koodi, kui haavatavus on endiselt avatud ja saadaval. Pärast ründaja ekspluateerimise vabastamist tunnistab arendaja seda ja loob probleemi lahendamiseks plaastri. Siiski, kui plaaster on kirjutatud ja kasutatud, ei tunta ära enam null-päeva kasutamist.
Windows 10 Zero-päev kasutada leevendusi
Microsoft on suutnud ennetada null-päeva ekspluateerimisreaktsioone, võideldes sellega Kasutada leevendust ja Kihiline tuvastamine tehnikas Windows 10-s.
Microsofti turvameeskonnad on aastate jooksul nende rünnakutega tegelemiseks väga rasked. Selle spetsiaalsete tööriistadega nagu Windows Defender Application Guard, mis pakub Microsofti Edge-brauseri jaoks turvalist virtuaalset kihti ja Windows Defender Advanced Threat Protection'i, on pilvepõhine teenus, mis tuvastab tõrked, kasutades sisseehitatud Windows 10 andurite andmeid, mida ta on haldanud tõhustama Windowsi platvormil julgeolekuraamistikku ja lõpetama äsja avastatud ja isegi avalikustamata turvaaukude kasutamine.
Microsoft usub kindlalt, et ennetus on parem kui ravi. Sellisena paneb see rohkem rõhku leevendusmeetoditele ja täiendavatele kaitsekihtidele, mis võivad hoida küberrünnakute lahes, kui haavatavused on fikseeritud ja paigad paigutatakse. Kuna tunnustatud tõde on, et haavatavuste leidmine võtab märkimisväärselt palju aega ja jõupingutusi ning peaaegu võimatu neid kõiki leida. Niisiis, ülalnimetatud turvameetmed võivad aidata ära hoida rünnakuid, mis põhinevad null-päevasel kasutamisel.
Viimased 2 kerneli tase kasutab, mis põhineb CVE-2016-7255 ja CVE-2016-7256 on juhtum.
CVE-2016-7255 kasuta: Win32k privileegi tõus
Eelmisel aastal STRONTIUM rünnaku grupp käivitas spear-phishing-kampaania, mis on suunatud väikesele arvule Ameerika Ühendriikide mõttekodadest ja valitsusvälistelt organisatsioonidelt. Ründekampaania kasutas kahte null-päeva haavatavust Adobe Flash ja all-tase Windowsi kernel, et sihtida kindlat klientide komplekti. Seejärel võtsid nad " tüübi segadust"Haavatavus win32k.sys'is (CVE-2016-7255) kõrgemate privileegide saamiseks.
Esialgu tuvastati haavatavus Google Threat Analysis Group. Leiti, et kasutajad, kes kasutavad Microsoft Edge Windows 10 Anniversary Update'is, olid ohutud loodusest täheldatud rünnakute versioonidest. Selle ohu vastu võitlemiseks koordineeris Microsoft Google'i ja Adobeiga selle pahatahtliku kampaania uurimiseks ja Windowsi all-taseme versioonide jaoks plaastri loomiseks. Nendel juhtudel testiti kõigi Windowsi versioonide plaane ja vabastati see hiljem avalikult.
Ründaja koostatud CVE-2016-7255 spetsiifilise exploitaatori sisemiste põhjalik uurimine näitas, kuidas Microsofti leevendusmeetodid võimaldasid klientidel kaitset eelistavast kaitsest isegi enne konkreetset värskendust, mis määrati haavatavuse.
Sellised tänapäevased ekspluateerimised, nagu ülaltoodud, põhinevad read-write'i (RW) primitiividel koodi täitmise saavutamiseks või lisavõimaluste saamiseks. Ka siin ründajad omandasid RW primitiivid rikutud tagWND.strName kerneli struktuur. Selle süsteemi koodi pöördprojekteerimisega leidis Microsoft, et STRONTIUMi poolt 2016. aasta oktoobris kasutatud Win32k-ekspluateerimine kordas täpselt sama meetodit. Pärast esialgset Win32k haavatavust kasutati kahjustatud tagWND.strName struktuuri ja kasutas SetWindowTextW suvalise sisu kirjutamiseks kõikjal kerneli mälus.
Selleks, et leevendada Win32k kasutuse ja sarnaste ekspluateerimise mõju, on Windowsi ründava julgeoleku uurimismeeskond (OSR) tutvustas tehnoloogiat Windows 10 Anniversary Update, mis võimaldab vältida tagWND.strName kuritarvitamist. Mõõtemeetod teostas baas- ja pikkusväljade täiendavaid kontrollimisi, tagades, et need ei ole kasutatavad RW primitiivide jaoks.
CVE-2016-7256 exploit: Avatud tüüpi fondi privileegi tõus
2016. aasta novembris avastati tundmatuid tegureid, kes kasutavad viga Windowsi fontide raamatukogu (CVE-2016-7256), et tõsta privileege ja paigaldada Hankray tagauks - implantaat, et viia Lõuna-Koreas vanemate Windowsi versioonidega arvutisse väikeses mahus rünnakud.
Täiendav käivitatava või skripti tööriist, mida ei taastatud, näib olevat rakendanud fondi kasutamisest loobumist, arvutamist ja ettevalmistamist, et kasutada kerneli API-d ja kerneli struktuure sihtsüsteemis. Süsteemi värskendamine Windows 8-st Windows 10-s Anniversary Update keelas koodi CVE-2016-7256 kasutamise koodi jõudmiseks haavatavasse koodi. Värskendus õnnestus neutraliseerida mitte ainult konkreetseid ekspluateerimisi, vaid ka nende kasutamismeetodeid.
Järeldus: Kihiline avastamine ja leevendamise ärakasutamine aitab Microsoftil edukalt ära kasutada meetodeid ja sulgeb kõik haavatavuste klassid. Selle tulemusena vähendavad need leevendusmeetodid märkimisväärselt rünnakujuhtumeid, mis võiksid olla kättesaadavad null-päevaseks kasutamiseks.
Pealegi on nende leevendusmeetodite pakkumisega Microsoft sundinud ründajaid leidma viise uute kaitsekihtide ümber. Näiteks nüüd, isegi populaarsete RW-alaste primitiivide vastu suunatud taktikaline leevendamine paneb autorid kulutama rohkem aega ja ressursse uute rünnakute leidmiseks. Liigendades fondi parsingu koodi isoleeritud konteinerisse, on ettevõte vähendanud tõenäosust, et fontide vigu kasutatakse privileegide eskalatsiooni vektoritena.
Lisaks ülaltoodud tehnikatele ja lahendustele on Windows 10 aastapäeva uuendused kasutusele võtnud ka paljusid teisi leevendusmeetodeid põhilistele Windowsi komponentidele ja Microsoft Edge'i brauserile, kaitstes seeläbi süsteeme mitmesuguste kasutamiskõlbmatute haavatavuste tuvastamiseks.
