Skip to main content

Windows 10計算機系統有助於減少零日漏洞

Windows 10計算機系統有助於減少零日漏洞

Geoffrey Carr

甚至在開發人員創建用於修復應用程序中發現的漏洞的修補程序之前,攻擊者就會為其發布惡意軟件。此事件稱為 零日攻擊。每當公司的開發人員創建軟件或應用程序時,固有的危險 - 可能存在漏洞。威脅行為者可以在開發人員發現或有機會修復此漏洞之前發現此漏洞。

然後,攻擊者可以在漏洞仍處於打開狀態且可用時編寫並實施漏洞利用代碼。在攻擊者發布漏洞利用程序後,開發人員確認並創建了修補程序以解決問題。但是,一旦編寫並使用了補丁,該漏洞就不再被稱為零日攻擊。

Windows 10零日漏洞利用緩解措施

微軟已經設法通過戰鬥來避免零日漏洞攻擊 利用緩解分層檢測技術在Windows 10中。

多年來,Microsoft安全團隊一直在努力解決這些攻擊。通過其特殊工具,如Windows Defender Application Guard,為Microsoft Edge瀏覽器提供安全的虛擬化層,以及Windows Defender Advanced Threat Protection,這是一種基於雲的服務,使用內置Windows 10傳感器的數據識別漏洞,它已經管理收緊Windows平台上的安全框架並停止利用新發現的甚至未公開的漏洞。

微軟堅信,預防勝於治療。因此,它更加強調緩解技術和額外的防禦層,這些技術可以防止網絡攻擊,同時修復漏洞並部署補丁。因為發現漏洞需要花費大量的時間和精力才是公認的事實,而且幾乎不可能找到所有這些漏洞。因此,採用上述安全措施可以幫助防止基於零日攻擊的攻擊。

最近的2個內核級漏洞,基於 CVE-2016-7255CVE-2016-7256 就是一個很好的例子。

CVE-2016-7255 exploit:Win32k特權提升

去年, STRONTIUM攻擊組 發起針對美國少數智囊團和非政府組織的魚叉式網絡釣魚活動。攻擊活動使用了兩個零日漏洞 Adobe Flash 以及針對特定客戶群的低級Windows內核。他們然後利用''類型混淆'win32k.sys(CVE-2016-7255)中的漏洞獲得提升權限。

該漏洞最初由以下人員確定 谷歌的威脅分析小組。結果發現,在Windows 10週年紀念更新中使用Microsoft Edge的客戶可以免受野外觀察到的此類攻擊。為了應對這種威脅,微軟與穀歌和Adobe協調調查這一惡意活動,並為低級版本的Windows創建補丁。在這些方面,所有版本的Windows的補丁都經過測試,並在以後公開更新時進行相應的發布。

對攻擊者精心設計的CVE-2016-7255特定漏洞內部的徹底調查揭示了微軟的緩解技術如何為客戶提供搶先保護,即使在發布修復漏洞的特定更新之前也是如此。

諸如上述的現代漏洞依賴於讀寫(RW)原語來實現代碼執行或獲得額外的特權。在這裡,攻擊者也通過腐敗獲得了RW原語 tagWND.strName 內核結構。通過對其代碼進行逆向工程,Microsoft發現2016年10月STRONTIUM使用的Win32k漏洞利用了完全相同的方法。在最初的Win32k漏洞之後,該漏洞破壞了tagWND.strName結構,並使用SetWindowTextW在內核內存中的任何位置寫入任意內容。

為了減輕Win32k漏洞利用和類似攻擊的影響, Windows進攻性安全研究團隊 (OSR)在Windows 10週年更新中引入了能夠防止濫用tagWND.strName的技術。緩解執行了對基本字段和長度字段的附加檢查,確保它們不可用於RW基元。

CVE-2016-7256 exploit:開放式字體特權提升

2016年11月,身份不明的演員被發現利用了一個瑕疵 Windows字體庫 (CVE-2016-7256)提升特權並安裝Hankray後門 - 一種用於在韓國使用舊版Windows的計算機中進行低容量攻擊的植入物。

發現受影響的計算機上的字體樣本是使用硬編碼地址和數據專門操作的,以反映實際的內核內存佈局。該事件表明二次工具在滲透時動態生成漏洞利用代碼的可能性。

未恢復的輔助可執行文件或腳本工具似乎執行了刪除字體漏洞,計算和準備利用內核API和目標系統上的內核結構所需的硬編碼偏移量的操作。將系統從Windows 8更新到Windows 10週年更新阻止了CVE-2016-7256的漏洞利用代碼到達易受攻擊的代碼。此更新不僅可以中和特定漏洞利用,還可以中和漏洞利用方法。

結論: 通過分層檢測和利用緩解,Microsoft成功破解了漏洞利用方法並關閉了整個漏洞類別。因此,這些緩解技術顯著減少了可用於未來零日攻擊的攻擊實例。

此外,通過提供這些緩解技術,微軟已經迫使攻擊者找到解決新防禦層的方法。例如,現在,即使是針對流行的RW原語的簡單戰術緩解也迫使漏洞利用作者花費更多的時間和資源來尋找新的攻擊路線。此外,通過將字體解析代碼移動到隔離容器,該公司減少了字體錯誤被用作特權升級的向量的可能性。

除了上面提到的技術和解決方案之外,Windows 10週年更新還在核心Windows組件和Microsoft Edge瀏覽器中引入了許多其他緩解技術,從而保護系統免受被識別為未公開漏洞的各種漏洞攻擊。

Link
Plus
Send
Send
Pin