Mesmo antes de um desenvolvedor criar um patch para corrigir a vulnerabilidade descoberta no aplicativo, um invasor libera malware para ele. Este evento é chamado como Exploração de dia zero. Sempre que os desenvolvedores de uma empresa criam software ou aplicativo, o perigo inerente - uma vulnerabilidade pode existir nele. O agente de ameaças pode identificar essa vulnerabilidade antes que o desenvolvedor descubra ou tenha a chance de solucioná-la.
O invasor pode, então, escrever e implementar um código de exploração enquanto a vulnerabilidade ainda está aberta e disponível. Após o lançamento do ataque pelo atacante, o desenvolvedor reconhece e cria um patch para corrigir o problema. No entanto, depois que um patch é gravado e usado, o exploit não é mais chamado de exploit de dia zero.
Windows 10 Zero mitigations de exploração
A Microsoft conseguiu evitar ataques de exploração de dia zero lutando com Mitigação de Exploração e Técnica de Detecção em Camadass no Windows 10.
As equipes de segurança da Microsoft ao longo dos anos têm trabalhado arduamente para lidar com esses ataques. Através de suas ferramentas especiais, como o Windows Defender Application Guard, que fornece uma camada virtualizada segura para o navegador Microsoft Edge, e o Windows Defender Advanced Threat Protection, um serviço baseado na nuvem que identifica violações usando dados de sensores internos do Windows 10, para reforçar a estrutura de segurança na plataforma Windows e parar Exploits de vulnerabilidades recém-descobertas e até mesmo não divulgadas.
A Microsoft acredita firmemente que é melhor prevenir do que remediar. Como tal, coloca mais ênfase nas técnicas de mitigação e nas camadas defensivas adicionais que podem manter os ciberataques sob controle enquanto as vulnerabilidades estão sendo corrigidas e os patches estão sendo implementados. Porque é uma verdade aceita que encontrar vulnerabilidades leva uma quantidade considerável de tempo e esforços e é virtualmente impossível encontrar todos eles. Portanto, ter as medidas de segurança mencionadas acima pode ajudar na prevenção de ataques com base em explorações de dia zero.
Duas recentes explorações no nível do kernel, baseadas em CVE-2016-7255 e CVE-2016-7256 são um caso em questão.
CVE-2016-7255 exploit: Elevação de privilégio do Win32k
No ano passado, o Grupo de ataque STRONTIUM lançou uma campanha de spear-phishing visando um pequeno número de think tanks e organizações não-governamentais nos Estados Unidos. A campanha de ataque usou duas vulnerabilidades de dia zero em Adobe Flash e o kernel do Windows de baixo nível para direcionar um conjunto específico de clientes. Eles então alavancaram o tipo de confusão ‘Vulnerabilidade no win32k.sys (CVE-2016-7255) para obter privilégios elevados.
A vulnerabilidade foi originalmente identificada por Grupo de análise de ameaças do Google. Foi descoberto que os clientes que usam o Microsoft Edge no Windows 10 Anniversary Update estavam a salvo de versões deste ataque observadas na natureza. Para combater essa ameaça, a Microsoft coordenou com o Google e a Adobe para investigar essa campanha maliciosa e criar um patch para versões de baixo nível do Windows. Nessa linha, os patches para todas as versões do Windows foram testados e lançados de acordo com a atualização posterior, publicamente.
Uma investigação completa sobre os aspectos internos da exploração específica do CVE-2016-7255 criada pelo invasor revelou como as técnicas de atenuação da Microsoft ofereciam aos clientes proteção preventiva contra a exploração, mesmo antes do lançamento da atualização específica que corrigia a vulnerabilidade.
As explorações modernas, como as descritas acima, dependem de primitivos de leitura-gravação (RW) para obter execução de código ou obter privilégios adicionais. Aqui também, os invasores adquiriram primitivos RW corrompendo tagWND.strName estrutura do kernel. Ao fazer engenharia reversa de seu código, a Microsoft descobriu que o exploit Win32k usado pela STRONTIUM em outubro de 2016 reutilizou exatamente o mesmo método. O exploit, após a vulnerabilidade inicial do Win32k, corrompeu a estrutura tagWND.strName e usou o SetWindowTextW para escrever conteúdo arbitrário em qualquer parte da memória do kernel.
Para mitigar o impacto da exploração do Win32k e de explorações semelhantes, o Equipe de pesquisa de segurança ofensiva do Windows (OSR) introduziu técnicas no Windows 10 Anniversary Update capaz de impedir o uso abusivo de tagWND.strName. A atenuação executou verificações adicionais para os campos de base e comprimento, certificando-se de que eles não sejam utilizáveis para primitivos RW.
Exploração CVE-2016-7256: elevação de privilégio de fonte aberta
Em novembro de 2016, atores não identificados foram detectados explorando uma falha no Biblioteca de Fontes do Windows (CVE-2016-7256) para elevar os privilégios e instalar o back door Hankray - um implante para realizar ataques em baixo volume em computadores com versões mais antigas do Windows na Coreia do Sul.
O executável secundário ou ferramenta de script, que não foi recuperada, pareceu executar a ação de eliminar a exploração da fonte, calculando e preparando os deslocamentos codificados necessários para explorar a API do kernel e as estruturas do kernel no sistema alvo. A atualização do sistema do Windows 8 para o Windows 10 Anniversary Update evitou que o código de exploração do CVE-2016-7256 atingisse o código vulnerável. A atualização conseguiu neutralizar não apenas as explorações específicas, mas também seus métodos de exploração.
Conclusão: Através da detecção em camadas e mitigação de exploração, a Microsoft rompe com sucesso os métodos de exploração e fecha classes inteiras de vulnerabilidades. Como resultado, essas técnicas de atenuação estão reduzindo significativamente as instâncias de ataque que podem estar disponíveis para futuras explorações de dia zero.
Além disso, ao fornecer essas técnicas de mitigação, a Microsoft forçou os invasores a encontrar maneiras de contornar as novas camadas de defesa. Por exemplo, agora, até mesmo a simples mitigação tática contra primitivos RW populares força os autores da exploração a gastar mais tempo e recursos na busca de novas rotas de ataque. Além disso, ao mover o código de análise de fonte para um contêiner isolado, a empresa reduziu a probabilidade de bugs de fontes serem usados como vetores para escalonamento de privilégios.
Além das técnicas e soluções mencionadas acima, as Atualizações de Aniversário do Windows 10 introduzem muitas outras técnicas de mitigação nos principais componentes do Windows e no navegador Microsoft Edge, protegendo assim os sistemas contra a variedade de explorações identificadas como vulnerabilidades não divulgadas.
