Avant même qu'un développeur crée un correctif pour corriger la vulnérabilité découverte dans l'application, un attaquant publie un logiciel malveillant. Cet événement s'appelle comme Exploit de zéro jour. Chaque fois que les développeurs d’une entreprise créent un logiciel ou une application, le risque inhérent - une vulnérabilité peut exister. L'acteur menaçant peut repérer cette vulnérabilité avant que le développeur découvre ou ait la possibilité de la réparer.
L’attaquant peut alors écrire et implémenter un code d’exploitation tant que la vulnérabilité est toujours ouverte et disponible. Après la publication de l'exploit par l'attaquant, le développeur le reconnaît et crée un correctif pour résoudre le problème. Cependant, une fois qu'un correctif est écrit et utilisé, l'exploit n'est plus appelé exploit à zéro jour.
Windows 10 atténuation des exploitations de jour zéro
Microsoft a réussi à éviter les attaques par exploit au jour zéro en se battant avec Exploiter la mitigation et Technique de détection par couchess dans Windows 10.
Au fil des ans, les équipes de sécurité de Microsoft ont travaillé d'arrache-pied pour faire face à ces attaques. Via ses outils spéciaux tels que Windows Defender Application Guard, qui fournit une couche virtualisée sécurisée pour le navigateur Microsoft Edge, et Windows Defender Advanced Protection contre les menaces, un service basé sur le cloud qui identifie les violations à l'aide de données provenant de capteurs Windows 10 intégrés, il a géré pour renforcer le cadre de sécurité sur la plate-forme Windows et arrêter Exploits de vulnérabilités récemment découvertes et même non divulguées.
Microsoft croit fermement que mieux vaut prévenir que guérir. En tant que tel, il met davantage l'accent sur les techniques d'atténuation et sur des couches défensives supplémentaires capables de contenir les cyberattaques pendant que les vulnérabilités sont corrigées et les correctifs déployés. Comme il est de notoriété publique que trouver des vulnérabilités nécessite beaucoup de temps et d’efforts, il est pratiquement impossible de toutes les trouver. Ainsi, la mise en place des mesures de sécurité susmentionnées peut aider à prévenir les attaques basées sur des exploits du jour zéro.
2 récents exploits au niveau du noyau, basés sur CVE-2016-7255 et CVE-2016-7256 sont un exemple.
CVE-2016-7255 exploit: élévation de privilèges dans Win32k
L'année dernière, le Groupe d'attaque STRONTIUM a lancé une campagne de harponnage visant un petit nombre de groupes de réflexion et d’organisations non gouvernementales aux États-Unis. La campagne d’attaque a utilisé deux vulnérabilités jour zéro dans Adobe Flash et le noyau Windows de bas niveau pour cibler un ensemble spécifique de clients. Ils ont ensuite exploité le confusion de type «Vulnérabilité dans win32k.sys (CVE-2016-7255) pour l’acquisition de privilèges élevés.
La vulnérabilité a été identifiée par Groupe d'analyse des menaces de Google. Il a été constaté que les clients utilisant Microsoft Edge sur Windows 10 Anniversary Update étaient protégés des versions de cette attaque observée à l'état sauvage. Pour contrer cette menace, Microsoft a coordonné ses activités avec Google et Adobe pour étudier cette campagne malveillante et créer un correctif pour les versions de niveau inférieur de Windows. Dans cette optique, des correctifs pour toutes les versions de Windows ont été testés et publiés en conséquence, en tant que mise à jour ultérieure, publiquement.
Une enquête approfondie sur les éléments internes de l'exploit spécifique de CVE-2016-7255 élaboré par l'attaquant a révélé comment les techniques d'atténuation de Microsoft offraient aux clients une protection préventive contre l'exploit, avant même la publication de la mise à jour spécifique corrigeant la vulnérabilité.
Les exploits modernes tels que ceux décrits ci-dessus reposent sur des primitives lecture-écriture (RW) pour exécuter le code ou obtenir des privilèges supplémentaires. Ici aussi, les assaillants ont acquis les primitives RW en corrompant tagWND.strName structure du noyau. En procédant au reverse engineering de son code, Microsoft a constaté que l'exploit Win32k utilisé par STRONTIUM en octobre 2016 réutilisait exactement la même méthode. L’exploit, après la vulnérabilité initiale de Win32k, a corrompu la structure tagWND.strName et utilisé SetWindowTextW pour écrire du contenu arbitraire n’importe où dans la mémoire du noyau.
Pour atténuer l’impact de l’exploit Win32k et d’autres exploits similaires, le Equipe de recherche sur la sécurité offensive Windows (OSR) a introduit dans la mise à jour d'anniversaire de Windows 10 des techniques capables d'empêcher l'utilisation abusive de tagWND.strName. L'atténuation a effectué des contrôles supplémentaires pour les champs de base et de longueur afin de s'assurer qu'ils ne sont pas utilisables pour les primitives RW.
CVE-2016-7256 exploit: ouverture d'une élévation de privilèges de police de type
En novembre 2016, des acteurs non identifiés ont été détectés exploitant une faille dans la Bibliothèque de polices Windows (CVE-2016-7256) pour élever les privilèges et installer la porte arrière Hankray, un implant permettant de lancer des attaques à faible volume sur des ordinateurs dotés d'anciennes versions de Windows en Corée du Sud.
L'exécutable secondaire ou l'outil de script, qui n'a pas été récupéré, semble effectuer l'opération consistant à supprimer l'exploit de police, à calculer et à préparer les décalages codés en dur nécessaires à l'exploitation de l'API et des structures de noyau sur le système ciblé. La mise à jour du système de Windows 8 à Windows 10 Anniversary Update a empêché le code d'exploitation de CVE-2016-7256 d'atteindre le code vulnérable. La mise à jour a réussi à neutraliser non seulement les exploits spécifiques, mais également leurs méthodes d’exploitation.
Conclusion: Grâce à la détection en couches et à la réduction des exploitations, Microsoft réussit à casser les méthodes d’exploitation et à fermer des classes entières de vulnérabilités. En conséquence, ces techniques d'atténuation réduisent considérablement les instances d'attaque pouvant être disponibles pour les futurs exploits zéro jour.
En outre, en fournissant ces techniques de limitation, Microsoft a obligé les attaquants à rechercher des solutions autour des nouvelles couches de défense. Par exemple, même la simple atténuation tactique contre les primitives RW populaires oblige les auteurs d’exploitants à consacrer plus de temps et de ressources à la recherche de nouvelles voies d’attaque. En outre, en déplaçant le code d'analyse syntaxique des polices dans un conteneur isolé, la société a réduit la probabilité que des erreurs de police soient utilisées en tant que vecteurs pour l'élévation des privilèges.
Outre les techniques et solutions mentionnées ci-dessus, les mises à jour d'anniversaire de Windows 10 introduisent de nombreuses autres techniques d'atténuation dans les composants Windows principaux et le navigateur Microsoft Edge, protégeant ainsi les systèmes de la gamme d'exploits identifiés comme des vulnérabilités non révélées.
