Ngay cả trước khi nhà phát triển tạo bản vá để sửa lỗ hổng được phát hiện trong ứng dụng, kẻ tấn công phát hành phần mềm độc hại cho nó. Sự kiện này được gọi là Khai thác zero-day. Bất cứ khi nào nhà phát triển của công ty tạo phần mềm hoặc ứng dụng, mối nguy hiểm vốn có - một lỗ hổng có thể tồn tại trong đó. Các diễn viên mối đe dọa có thể phát hiện lỗ hổng này trước khi các nhà phát triển phát hiện ra hoặc có một cơ hội để sửa chữa nó.
Kẻ tấn công có thể sau đó, viết và thực hiện một mã khai thác trong khi lỗ hổng vẫn mở và sẵn sàng. Sau khi phát hành khai thác bởi kẻ tấn công, nhà phát triển thừa nhận nó và tạo ra một bản vá để khắc phục vấn đề. Tuy nhiên, khi bản vá được viết và sử dụng, khai thác không còn được gọi là khai thác zero-day nữa.
Windows 10 Giảm thiểu khai thác zero-day
Microsoft đã xoay sở để ngăn chặn các cuộc tấn công khai thác Zero-day bằng cách chiến đấu với Giảm thiểu khai thác và Kỹ thuật phát hiện lớps trong Windows 10.
Các nhóm bảo mật của Microsoft trong những năm qua đã làm việc cực kỳ khó khăn để giải quyết các cuộc tấn công này. Thông qua các công cụ đặc biệt như Windows Defender Application Guard, một lớp ảo hóa an toàn cho trình duyệt Microsoft Edge và Windows Defender Advanced Threat Protection, một dịch vụ dựa trên đám mây xác định các vi phạm sử dụng dữ liệu từ các cảm biến Windows 10 tích hợp. để thắt chặt khung bảo mật trên nền tảng Windows và dừng Khai thác lỗ hổng mới được phát hiện và thậm chí không được tiết lộ.
Microsoft tin chắc, phòng bệnh tốt hơn chữa bệnh. Vì vậy, nó chú trọng hơn vào các kỹ thuật giảm thiểu và các lớp phòng thủ bổ sung có thể giữ các cuộc tấn công không gian mạng tại vịnh trong khi các lỗ hổng đang được cố định và các bản vá đang được triển khai. Bởi vì đó là một sự thật được chấp nhận rằng việc tìm ra các lỗ hổng mất một lượng thời gian và nỗ lực đáng kể và hầu như không thể tìm thấy tất cả chúng. Vì vậy, có các biện pháp bảo mật được đề cập ở trên có thể giúp ngăn chặn các cuộc tấn công dựa trên các khai thác zero-day.
2 lần khai thác cấp hạt nhân gần đây, dựa trên CVE-2016-7255 và CVE-2016-7256 là một trường hợp tại điểm.
CVE-2016-7255 khai thác: Độ cao đặc quyền của Win32k
Năm ngoái, Nhóm tấn công STRONTIUM đã phát động chiến dịch lừa đảo nhằm mục tiêu nhắm mục tiêu một số lượng nhỏ các tổ chức phi chính phủ và các tổ chức phi chính phủ ở Hoa Kỳ. Chiến dịch tấn công đã sử dụng hai lỗ hổng zero-day trong Adobe Flash và hạt nhân Windows cấp thấp để nhắm mục tiêu một nhóm khách hàng cụ thể. Sau đó, họ đã tận dụng ‘ loại nhầm lẫn'Lỗ hổng trong win32k.sys (CVE-2016-7255) để đạt được đặc quyền nâng cao.
Lỗ hổng ban đầu được xác định bởi Nhóm phân tích mối đe dọa của Google. Nó đã được tìm thấy khách hàng sử dụng Microsoft Edge trên Windows 10 Anniversary Update đã được an toàn từ các phiên bản của cuộc tấn công này quan sát thấy trong tự nhiên. Để chống lại mối đe dọa này, Microsoft đã phối hợp với Google và Adobe để điều tra chiến dịch độc hại này và tạo bản vá cho các phiên bản Windows cấp thấp. Dọc theo những dòng này, các bản vá lỗi cho tất cả các phiên bản của Windows đã được thử nghiệm và phát hành tương ứng với bản cập nhật sau đó, công khai.
Một cuộc điều tra kỹ lưỡng về nội bộ của khai thác cụ thể cho CVE-2016-7255 do kẻ tấn công chế tạo đã tiết lộ cách các kỹ thuật giảm thiểu của Microsoft cung cấp cho khách hàng sự bảo vệ trước khi khai thác, ngay cả trước khi phát hành bản cập nhật cụ thể sửa lỗ hổng.
Khai thác hiện đại như trên, dựa vào nguyên gốc đọc-ghi (RW) để đạt được thực thi mã hoặc có được các đặc quyền bổ sung. Ở đây cũng vậy, những kẻ tấn công có được nguyên thủy RW bằng cách tham nhũng tagWND.strName cấu trúc hạt nhân. Bằng cách đảo ngược kỹ thuật mã của nó, Microsoft thấy rằng việc khai thác Win32k được sử dụng bởi STRONTIUM vào tháng 10 năm 2016 đã sử dụng lại chính xác cùng một phương pháp. Việc khai thác, sau khi lỗ hổng Win32k ban đầu, cấu trúc tagWND.strName bị hỏng và sử dụng SetWindowTextW để viết nội dung tùy ý ở bất kỳ đâu trong bộ nhớ hạt nhân.
Để giảm thiểu tác động của việc khai thác và khai thác tương tự Win32k, Nhóm nghiên cứu bảo mật tấn công của Windows (OSR) đã giới thiệu các kỹ thuật trong Windows 10 Anniversary Update có khả năng ngăn chặn việc lạm dụng tagWND.strName. Việc giảm thiểu thực hiện kiểm tra bổ sung cho các trường cơ sở và chiều dài đảm bảo chúng không thể sử dụng được cho các nguyên thủy RW.
Khai thác CVE-2016-7256: Mở loại phông chữ nâng cao đặc quyền
Vào tháng 11 năm 2016, các diễn viên không xác định được phát hiện khai thác một lỗ hổng trong Thư viện Windows Font (CVE-2016-7256) để nâng cao đặc quyền và cài đặt cửa sau Hankray - một bộ cấy để thực hiện các cuộc tấn công với số lượng thấp trong các máy tính có phiên bản Windows cũ hơn ở Hàn Quốc.
Công cụ thực thi hoặc kịch bản thứ hai, không được phục hồi, dường như thực hiện hành động thả phông chữ khai thác, tính toán và chuẩn bị các mã hóa cứng cần thiết để khai thác API hạt nhân và cấu trúc hạt nhân trên hệ thống đích. Cập nhật hệ thống từ Windows 8 lên Windows 10 Anniversary Update đã ngăn chặn mã khai thác cho CVE-2016-7256 để đạt được mã dễ bị tổn thương. Bản cập nhật được quản lý để trung hòa không chỉ các khai thác cụ thể mà còn là phương pháp khai thác của chúng.
Phần kết luận: Thông qua phát hiện lớp và khai thác giảm thiểu, Microsoft phá vỡ thành công các phương thức khai thác và đóng toàn bộ các lớp lỗ hổng. Kết quả là, các kỹ thuật giảm thiểu này giảm đáng kể các trường hợp tấn công có thể có sẵn cho các lần khai thác zero-day trong tương lai.
Hơn nữa, bằng cách cung cấp các kỹ thuật giảm thiểu này, Microsoft đã buộc những kẻ tấn công phải tìm cách để tạo ra các lớp phòng thủ mới. Ví dụ, bây giờ, ngay cả việc giảm thiểu chiến thuật đơn giản chống lại các nguyên tố RW phổ biến buộc các tác giả khai thác tốn nhiều thời gian và tài nguyên hơn trong việc tìm kiếm các tuyến tấn công mới. Ngoài ra, bằng cách di chuyển mã phân tích cú pháp phông chữ sang vùng chứa bị cô lập, công ty đã giảm khả năng lỗi phông chữ được sử dụng làm vectơ để leo thang đặc quyền.
Ngoài các kỹ thuật và giải pháp được đề cập ở trên, Windows 10 Anniversary Updates giới thiệu nhiều kỹ thuật giảm thiểu khác trong các thành phần cốt lõi của Windows và trình duyệt Microsoft Edge do đó bảo vệ hệ thống khỏi phạm vi khai thác được xác định là lỗ hổng không được tiết lộ.
