Windows 10 stał się odporny na ataki, które łamały zabezpieczenia starszych „okienek”
Może i Windows 10 nie jest takbezpieczny jak Windows 7 z włączonym EMET-em, ale nie oznaczato, że Microsoft niczego nie zrobił w dziedzinie uszczelnianiaswojego systemu. Na łamach Technetu ludzie z Microsoft MalwareProtection Center zaprezentowaliswoje rozwiązania, dzięki którym najnowsze exploity 0-day,skteczne wobec starszych Windowsów, w „dziesiątce” okazały sięnieskuteczne.
Biuletyny bezpieczeństwa z listopada 2016 roku załatały m.in.luki oznaczone jako CVE-2016-7255 (biuletyn MS16-135) orazCVE-2016-7256 (biuletyn MS16-132). Ta pierwsza, zastosowana wspearphishingowym ataku przeciwko organizacjom pozarządowym ithink-tankom w USA, wykorzystywała podatność use-after-free weFlash Playerze, by uruchomić kod, który następnie poprzez lukę wkernelu (type-confusion) uruchamiał się z uprawnieniamiadministratora.
Ta druga dotyczyła operacji przeprowadzonej przeciwko celom wKorei Południowej: luka w bibliotece fontów Windowsa pozwalała nauruchomienie kodu z uprawnieniami administratora, a następniezainstalowanie furtki Hankray w komputerach ofiar.
Techniczne szczegóły tych ataków zostały przedstawione naTechnecie – warto szczególnie przyjrzeć się, jak krok po krokuwykorzystywano fonty obecne w systemach ofiar, by za ich pomocąodtworzyć układy pamięci kernela, tworząc odpowiednie środowiskodla uruchomienia właściwego kodu exploita w momencie infiltracji.Techniki ROP (Return-Oriented Programming) wymagają od napastnikówogromnej precyzji, ale jak widać, pozwalają na bardzo wiele.
Specjaliści Microsoftu podkreślają jednak, że użytkownicyWindowsa 10 korzystający z aktualizacji Anniversary Update niemusieli obawiać się tych exploitów nawet bez łatek. Cała metodazastosowana w CVE-2016-7255 stała się nieskuteczna, powodując wnajgorszym razie zawieszenie systemu i niebieski ekran śmierci. Wodniesieniu zaś do CVE-2016, wykorzystany tam mechanizm izolacjifontów w kontenerze całkowicie zablokował exploitowanie przezzłośliwe fonty wczytane przez przeglądarkę Edge. Dodatkowawalidacja fontów sprawia zaś, że taki font po prostu jestrozpoznawany jako błędny.
Nowe techniki neutralizacji zagrożeń nie są oczywiściepanaceum na windowsowe szkodniki, na pewno jednak znaczniepodwyższają poprzeczkę dla twórców malware – mżna powiedzieć,że dla mniejszych, gorzej finansowanych grup w pewnym momencieatakowanie Windowsa stanie się praktycznie niemożliwe. Pierwszekonsekwencje tej sytuacji już chyba widzimy – styczniowychbiuletynów bezpieczeństwa było zaskakującomało.
