Windows 10 stał się odporny na ataki, które łamały zabezpieczenia starszych „okienek”

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Może i Windows 10 nie jest tak bezpieczny jak Windows 7 z włączonym EMET-em, ale nie oznacza to, że Microsoft niczego nie zrobił w dziedzinie uszczelniania swojego systemu. Na łamach Technetu ludzie z Microsoft Malware Protection Center zaprezentowali swoje rozwiązania, dzięki którym najnowsze exploity 0-day, skteczne wobec starszych Windowsów, w „dziesiątce” okazały się nieskuteczne.

Biuletyny bezpieczeństwa z listopada 2016 roku załatały m.in. luki oznaczone jako CVE-2016-7255 (biuletyn MS16-135) oraz CVE-2016-7256 (biuletyn MS16-132). Ta pierwsza, zastosowana w spearphishingowym ataku przeciwko organizacjom pozarządowym i think-tankom w USA, wykorzystywała podatność use-after-free we Flash Playerze, by uruchomić kod, który następnie poprzez lukę w kernelu (type-confusion) uruchamiał się z uprawnieniami administratora.

Ta druga dotyczyła operacji przeprowadzonej przeciwko celom w Korei Południowej: luka w bibliotece fontów Windowsa pozwalała na uruchomienie kodu z uprawnieniami administratora, a następnie zainstalowanie furtki Hankray w komputerach ofiar.

Techniczne szczegóły tych ataków zostały przedstawione na Technecie – warto szczególnie przyjrzeć się, jak krok po kroku wykorzystywano fonty obecne w systemach ofiar, by za ich pomocą odtworzyć układy pamięci kernela, tworząc odpowiednie środowisko dla uruchomienia właściwego kodu exploita w momencie infiltracji. Techniki ROP (Return-Oriented Programming) wymagają od napastników ogromnej precyzji, ale jak widać, pozwalają na bardzo wiele.

Specjaliści Microsoftu podkreślają jednak, że użytkownicy Windowsa 10 korzystający z aktualizacji Anniversary Update nie musieli obawiać się tych exploitów nawet bez łatek. Cała metoda zastosowana w CVE-2016-7255 stała się nieskuteczna, powodując w najgorszym razie zawieszenie systemu i niebieski ekran śmierci. W odniesieniu zaś do CVE-2016, wykorzystany tam mechanizm izolacji fontów w kontenerze całkowicie zablokował exploitowanie przez złośliwe fonty wczytane przez przeglądarkę Edge. Dodatkowa walidacja fontów sprawia zaś, że taki font po prostu jest rozpoznawany jako błędny.

Nowe techniki neutralizacji zagrożeń nie są oczywiście panaceum na windowsowe szkodniki, na pewno jednak znacznie podwyższają poprzeczkę dla twórców malware – mżna powiedzieć, że dla mniejszych, gorzej finansowanych grup w pewnym momencie atakowanie Windowsa stanie się praktycznie niemożliwe. Pierwsze konsekwencje tej sytuacji już chyba widzimy – styczniowych biuletynów bezpieczeństwa było zaskakująco mało.