Los sistemas informáticos de Windows 10 ayudan a mitigar los problemas de día cero

Incluso antes de que un desarrollador cree un parche para reparar la vulnerabilidad descubierta en la aplicación, un atacante libera malware para ella. Este evento se llama Explotación de día cero . Siempre que los desarrolladores de una empresa crean software o una aplicación, el peligro inherente – una vulnerabilidad podría existir en ella. El actor de la amenaza puede detectar esta vulnerabilidad antes de que el desarrollador la descubra o tenga la oportunidad de corregirla.

El atacante puede entonces, escribir e implementar un código de explotación mientras la vulnerabilidad está abierta y disponible. Después de que el atacante libera el exploit, el desarrollador lo reconoce y crea un parche para solucionar el problema. Sin embargo, una vez que un parche es escrito y usado, el exploit ya no es llamado un exploit de día cero.

Mitigación de vulnerabilidades de Windows 10 Zero-day

Microsoft ha logrado evitar los ataques de explotación de día cero luchando con Mitigación de explotación y Técnica de detección por capas s en Windows 10.

A lo largo de los años, los equipos de seguridad de Microsoft han estado trabajando muy duro para hacer frente a estos ataques. A través de sus herramientas especiales como Windows Defender Application Guard, que proporciona una capa virtualizada segura para el navegador Microsoft Edge, y Windows Defender Advanced Threat Protection, un servicio basado en la nube que identifica las brechas utilizando datos de los sensores incorporados de Windows 10, ha logrado reforzar el marco de seguridad en la plataforma Windows y detener los ataques de vulnerabilidades recién descubiertas e incluso no reveladas.

Microsoft cree firmemente que es mejor prevenir que curar. Como tal, pone más énfasis en las técnicas de mitigación y en las capas defensivas adicionales que pueden mantener a raya los ataques cibernéticos mientras se corrigen las vulnerabilidades y se despliegan los parches. Porque es una verdad aceptada que encontrar las vulnerabilidades toma una cantidad considerable de tiempo y esfuerzos y es virtualmente imposible encontrarlas todas. Por lo tanto, contar con las medidas de seguridad antes mencionadas puede ayudar a prevenir ataques basados en ataques de día cero.

Los 2 últimos exploits a nivel de núcleo, basados en CVE-2016-7255 y CVE-2016-7256 son un buen ejemplo.

Explotación CVE-2016-7255: Elevación del privilegio de Win32k

Los sistemas informáticos de Windows 10 ayudan a mitigar los problemas de día cero 1

> El año pasado, el grupo de ataque STRONTIUM lanzó una campaña de pesca submarina dirigida a un pequeño número de think tanks y organizaciones no gubernamentales en Estados Unidos. La campaña de ataque utilizó dos vulnerabilidades de día cero en Adobe Flash y el núcleo de Windows de nivel inferior para dirigirse a un conjunto específico de clientes. Luego aprovecharon la vulnerabilidad type-confusion en win32k.sys (CVE-2016-7255) para obtener privilegios elevados.

La vulnerabilidad fue identificada originalmente por Grupo de Análisis de Amenazas de Google . Se encontró que los clientes que usaban Microsoft Edge en Windows 10 Anniversary Update estaban a salvo de las versiones de este ataque observadas en estado salvaje. Para contrarrestar esta amenaza, Microsoft se coordinó con Google y Adobe para investigar esta campaña maliciosa y crear un parche para versiones inferiores de Windows. En este sentido, los parches para todas las versiones de Windows se probaron y se publicaron en consecuencia como actualización posterior.

Una investigación a fondo sobre los aspectos internos de la vulnerabilidad específica para CVE-2016-7255 diseñada por el atacante reveló cómo las técnicas de mitigación de Microsoft proporcionaban a los clientes protección preventiva frente a la vulnerabilidad, incluso antes de la publicación de la actualización específica que corregía la vulnerabilidad.

Los exploits modernos como el anterior, dependen de primitivas de lectura y escritura (RW) para lograr la ejecución del código u obtener privilegios adicionales. Aquí también, los atacantes adquirieron primitivas RW corrompiendo la estructura del kernel tagWND.strName . Mediante la ingeniería inversa de su código, Microsoft descubrió que el exploit Win32k utilizado por STRONTIUM en octubre de 2016 reutilizaba exactamente el mismo método. El exploit, después de la vulnerabilidad inicial de Win32k, corrompió la estructura tagWND.strName y utilizó SetWindowTextW para escribir contenido arbitrario en cualquier lugar de la memoria del núcleo.

Para mitigar el impacto de la vulnerabilidad de Win32k y otros ataques similares, el Windows Offensive Security Research Team (OSR) introdujo técnicas en la Windows 10 Anniversary Update capaces de prevenir el uso abusivo de tagWND.strName. La mitigación realizó comprobaciones adicionales para los campos base y longitud asegurándose de que no son utilizables para las primitivas RW.

Explotación CVE-2016-7256: Elevación del privilegio de fuente de tipo abierto

En noviembre de 2016, se detectaron actores no identificados explotando una falla en la biblioteca de fuentes de Windows (CVE-2016-7256) para elevar los privilegios e instalar la puerta trasera de Hankray, un implante para llevar a cabo ataques de bajo volumen en ordenadores con versiones antiguas de Windows en Corea del Sur.

Los sistemas informáticos de Windows 10 ayudan a mitigar los problemas de día cero 2

Se descubrió que las muestras de fuentes en los ordenadores afectados se manipulaban específicamente con direcciones y datos codificados para reflejar la distribución real de la memoria del núcleo. El evento indicaba la probabilidad de que una herramienta secundaria generara dinámicamente el código de vulnerabilidad en el momento de la infiltración.

El ejecutable secundario o herramienta de script, que no se recuperó, parecía llevar a cabo la acción de dejar caer la explotación de fuentes, calcular y preparar las compensaciones de código duro necesarias para explotar la API del kernel y las estructuras del kernel en el sistema objetivo. La actualización del sistema de Windows 8 a Windows 10 Anniversary Update impidió que el código de explotación de CVE-2016-7256 llegara al código vulnerable. La actualización logró neutralizar no sólo los exploits específicos sino también sus métodos de explotación.

Conclusión: Mediante la detección por capas y la mitigación de vulnerabilidades, Microsoft rompe con éxito los métodos de explotación y cierra clases enteras de vulnerabilidades. Como resultado, estas técnicas de mitigación están reduciendo significativamente las instancias de ataque que podrían estar disponibles para futuras hazañas de día cero.

Además, al ofrecer estas técnicas de mitigación, Microsoft ha obligado a los atacantes a encontrar formas de evitar nuevas capas de defensa. Por ejemplo, ahora, incluso la simple mitigación táctica contra las populares primitivas del OR obliga a los autores de la explotación a dedicar más tiempo y recursos a encontrar nuevas rutas de ataque. Además, al mover el código de análisis de fuentes a un contenedor aislado, la empresa ha reducido la probabilidad de que los errores de fuentes se utilicen como vectores para la escalada de privilegios.

Aparte de las técnicas y soluciones mencionadas anteriormente, las Actualizaciones del Aniversario de Windows 10 introducen muchas otras técnicas de mitigación en los componentes principales de Windows y en el navegador Microsoft Edge, protegiendo así a los sistemas de toda la gama de vulnerabilidades identificadas como no reveladas.

Contenido Relacionado

Deja un comentario