تساعد أنظمة الكمبيوتر التي تعمل بنظام Windows 10 على التخفيف من حالات استغلال يوم الصفر

جدول المحتويات:

فيديو: تساعد أنظمة الكمبيوتر التي تعمل بنظام Windows 10 على التخفيف من حالات استغلال يوم الصفر

فيديو: تساعد أنظمة الكمبيوتر التي تعمل بنظام Windows 10 على التخفيف من حالات استغلال يوم الصفر
فيديو: Конфиденциальность, безопасность, общество — информатика для руководителей бизнеса, 2016 г. 2024, مارس
تساعد أنظمة الكمبيوتر التي تعمل بنظام Windows 10 على التخفيف من حالات استغلال يوم الصفر
تساعد أنظمة الكمبيوتر التي تعمل بنظام Windows 10 على التخفيف من حالات استغلال يوم الصفر
Anonim

حتى قبل أن ينشئ مطور البرامج تصحيحًا لإصلاح الثغرة الأمنية المكتشفة في التطبيق ، يقوم أحد المهاجمين بإصدار برامج ضارة له. يسمى هذا الحدث باسم استغراق يوم الصفر. عندما ينشئ مطورو الشركة برنامجًا أو تطبيقًا ، فإن الخطر المتأصل قد يكون موجودًا. يمكن لممثل التهديد اكتشاف نقطة الضعف هذه قبل أن يكتشف المطور أو لديه فرصة لإصلاحه.

يمكن للمهاجم بعد ذلك كتابة وتنفيذ رمز استغلال في حين أن الثغرة ما زالت مفتوحة ومتاحة. بعد إصدار المهاجم من قبل المهاجم ، يعترف المطور بذلك ويقوم بإنشاء تصحيح لإصلاح المشكلة. ومع ذلك ، بمجرد كتابة الرقعة واستخدامها ، لم يعد الاستغلال يسمى استغلال يوم الصفر.

Windows 10 صفر يوم استغلال المخاطر

لقد تمكنت Microsoft من تجنب الهجمات الاستغلالية صفر يوم من خلال القتال معها استغلال التخفيف و تقنية كشف الطبقات ق في ويندوز 10.

لقد عملت فرق أمان Microsoft عبر السنين بجهد بالغ لمعالجة هذه الهجمات. من خلال أدواتها الخاصة مثل Windows Defender Application Guard ، التي توفر طبقة ظاهرية آمنة لمتصفح Microsoft Edge ، و Windows Defender Advanced Threat Protection ، وهي خدمة قائمة على السحابة تحدد الاختراقات باستخدام البيانات من أجهزة الاستشعار المضمنة في Windows 10 ، فقد تمكنت من لتشديد الإطار الأمني على منصة ويندوز وإيقاف استغلال الثغرات المكتشفة حديثا وحتى غير المفصح عنها.

تعتقد مايكروسوفت بقوة ، والوقاية خير من العلاج. على هذا النحو فإنه يركز أكثر على تقنيات التخفيف والطبقات الدفاعية الإضافية التي يمكن أن تبقي الهجمات السيبرانية في حين يتم إصلاح نقاط الضعف ويتم نشر بقع. لأنه من الحقائق المقبولة أن العثور على نقاط الضعف يستغرق وقتًا طويلاً وجهودًا كبيرة وأنه من المستحيل فعليًا العثور عليها جميعًا. لذا ، فإن وجود إجراءات أمنية مذكورة أعلاه يمكن أن يساعد في منع الهجمات على أساس استغلال يوم الصفر.

2 مؤخرا على مستوى kernel مآثر ، على أساس CVE-2016-7255 و CVE-2016-7256 هي مثال على ذلك.

CVE-2016-7255 استغلال: Win32k ارتفاع الامتياز

Image
Image

في العام الماضي ، و مجموعة الهجوم STRONTIUM أطلقت حملة التصيد الرمح التي تستهدف عددا صغيرا من مراكز الفكر والمنظمات غير الحكومية في الولايات المتحدة. استخدمت حملة الهجوم اثنين من نقاط الضعف في اليوم صفر في برنامج أدوب فلاش ونواة Windows ذات المستوى الأدنى لاستهداف مجموعة محددة من العملاء. ثم استفادوا من نوع الارتباك الضعف في win32k.sys (CVE-2016-7255) للحصول على امتيازات مرتفعة.

تم تعريف الضعف أصلا من قبل مجموعة تحليل التهديدات من Google. تم العثور على العملاء الذين يستخدمون Microsoft Edge على Windows 10 Anniversary Update في مأمن من إصدارات هذا الهجوم التي لوحظت في البرية. لمواجهة هذا التهديد ، قامت Microsoft بالتنسيق مع Google و Adobe للتحقيق في هذه الحملة الضارة ولإنشاء تصحيح للإصدارات ذات المستوى المنخفض من Windows. على طول هذه الخطوط ، تم اختبار التصحيحات لجميع إصدارات Windows وتم إصدارها وفقًا للتحديث لاحقًا ، بشكل عام.

كشف تحقيق شامل في الأجزاء الداخلية من الاستغلال المحدد لـ CVE-2016-7255 صاغه المهاجم كيف توفر تقنيات التخفيف من Microsoft للعملاء الحماية الوقائية من الاستغلال ، حتى قبل إصدار التحديث المحدد الذي يعمل على إصلاح الثغرة الأمنية.

تعتمد عمليات الاستغلال الحديثة ، مثل ما سبق ، على عناصر القراءة والكتابة (RW) لتحقيق تنفيذ التعليمات البرمجية أو الحصول على امتيازات إضافية. هنا أيضا ، حصل المهاجمون على ألقاب RW عن طريق الفساد tagWND.strName بنية النواة. من خلال هندسة عكس رمزها ، وجدت مايكروسوفت أن استغلال Win32k المستخدمة من قبل STRONTIUM في أكتوبر 2016 إعادة استخدام نفس الطريقة بالضبط. استغلال ، بعد الضعف الأساسي Win32k ، تالف بنية tagWND.strName واستخدام SetWindowTextW لكتابة المحتوى التعسفي في أي مكان في ذاكرة kernel.

للتخفيف من تأثير استغلال Win32k ومآثر مماثلة ، و فريق أبحاث الأمن الهجومية لـ Windows قدم (OSR) تقنيات في تحديث الذكرى السنوية لـ Windows 10 قادرة على منع الاستخدام التعسفي لـ tagWND.strName. قام التخفيف بإجراء فحوصات إضافية لمجالات الأساس والطول مع التأكد من أنها غير قابلة للاستخدام للأوليات الأولية.

CVE-2016-7256 exploit: Open type font elevation of privilege

في نوفمبر 2016 ، تم الكشف عن الجهات غير معروفة استغلال عيب في مكتبة Windows الخط (CVE-2016-7256) لرفع الامتيازات وتثبيت باب Hankray الخلفي - عملية زرع لتنفيذ هجمات ذات حجم صغير في أجهزة الكمبيوتر التي تحتوي على إصدارات قديمة من Windows في كوريا الجنوبية.

تم اكتشاف أن نماذج الخطوط على أجهزة الكمبيوتر المتأثرة تم التلاعب بها بشكل محدد مع عناوين وبيانات مشفرة لتعكس تخطيطات ذاكرة kernel الفعلية. أشار الحدث إلى احتمال قيام أداة ثانوية بتوليد رمز الاستغلال بشكل ديناميكي في وقت التسلل.
تم اكتشاف أن نماذج الخطوط على أجهزة الكمبيوتر المتأثرة تم التلاعب بها بشكل محدد مع عناوين وبيانات مشفرة لتعكس تخطيطات ذاكرة kernel الفعلية. أشار الحدث إلى احتمال قيام أداة ثانوية بتوليد رمز الاستغلال بشكل ديناميكي في وقت التسلل.

يبدو أن الأداة التنفيذية الثانوية أو أداة النص ، التي لم يتم استردادها ، تقوم بتنفيذ عملية إسقاط استغلال الخط ، وحساب وإعداد الإزاحة الضمنية اللازمة لاستغلال واجهة برمجة التطبيقات للنواة وهياكل النواة في النظام المستهدف. أدى تحديث النظام من نظام التشغيل Windows 8 إلى Windows 10 Anniversary Update إلى منع رمز استغلال CVE-2016-7256 للوصول إلى رمز عرضة للاختراق. نجح التحديث في تحييد ليس فقط المآثر المحددة ولكن أيضا طرق استغلالها.

استنتاج: من خلال اكتشاف الطبقات واستغلال التخفيف ، تنجح Microsoft بنجاح في استغلال أساليب الاستغلال وإغلاق الفئات الكاملة من الثغرات الأمنية. ونتيجة لذلك ، فإن أساليب التخفيف هذه تقلل إلى حد كبير من حالات الهجوم التي يمكن أن تكون متاحة لمستقبلات يوم الصفر المستقبلية.

علاوة على ذلك ، من خلال تقديم تقنيات التخفيف هذه ، أجبرت مايكروسوفت المهاجمين على إيجاد طرق حول طبقات الدفاع الجديدة. على سبيل المثال ، الآن ، حتى التخفيف التكتيكي البسيط ضد البدايات الشعبية للأسلحة البيولوجية يجبر المؤلفين المستغلين على قضاء المزيد من الوقت والموارد في إيجاد طرق هجوم جديدة. أيضا ، عن طريق نقل رمز تحليل الخط إلى حاوية معزولة ، خفضت الشركة احتمالية استخدام أخطاء الخط كمتجهات للتصعيد الامتياز.

بالإضافة إلى التقنيات والحلول المذكورة أعلاه ، تقدم تحديثات Windows 10 Anniversary العديد من تقنيات التخفيف الأخرى في مكونات Windows الأساسية ومتصفح Microsoft Edge وبالتالي حماية الأنظمة من نطاق عمليات الاستغلال التي تم تحديدها على أنها ثغرات غير معروفة.

موصى به: