Windows 10 大招:在补丁发布前封锁零日漏洞利用
作者: 日期:2017年02月01日 阅:4,041

零日漏洞就是厂商不知道而网络罪犯利用得很欢的漏洞,是最危险的安全问题。但微软宣称:Windows 10 能在没打补丁时就封锁掉这些漏洞利用。

windows-10-security

该缓解技术在2016年8月,作为 Windows 10 周年更新的一部分放出。这次更新意在强化该平台,以确保能在补丁放出前拦住对新发现甚至未发现漏洞的利用。微软宣称,该技术已经受了2个与著名威胁团体有关的漏洞利用的检验。

更具体讲,在2016年11月CVE-2016-7255和CVE-2016-7256漏洞被补上前,该缓解技术就成功封住了这两个内核级漏洞利用。CVE-2016-7255是Win32k 权限提升漏洞利用,而CVE-2016-7256是 Open Type 字体漏洞利用。

作为win32k.sys中的类型混淆漏洞,CVE-2016-7255被STRONTIUM攻击团伙利用来在被侵入系统中提升权限。为访问目标计算机,该团伙使用了 Adobe Flash Player 漏洞(CVE-2016-7855)。这两个漏洞用在了针对美国智库和非政府组织的一次小型鱼叉式网络钓鱼行动中。

该组织又被称为奇幻熊、兵风暴、APT28、Sednit和Sofacy,最近刚被宣告是去年美国大选网络攻击的罪人——尽管美国政府未能拿出切实的证据。

微软称,2016年10月的攻击中,STRONTIUM团伙利用了该Win32k漏洞,破坏tagWND.strName结构,使用SetWindowTextW函数在内核内存中写入任意数据。通过滥用API往当前进程中覆盖数据,并拷贝SYSTEM令牌权限,该漏洞可使攻击者用被提升的权限执行受害进程。

Windows 10 周年更新包含了预防tagWND.strName被滥用的技术,因而可以缓解该Win32k及类似漏洞利用。微软称,测试已证实:滥用该方法的漏洞利用程序不会起效,反而会触发异常和随后的蓝屏错误。

CVE-2016-7256存在于Windows字体库,被用于在运行老版本Windows操作系统的目标计算机上安装Hankray后门。该后门之前在主要针对韩国的小规模攻击中被发现。

微软称:“受影响计算机上发现的字体样本被特别设置了硬编码的地址和数据以反映实际内核内存布局。这表明了有二级工具在渗透时动态生成漏洞利用代码的可能性。”

第一阶段的shellcode非常小,用于拷贝shellcode主体到新分配的内存并运行之。主shellcode也很小,在该拷贝指令之后运行,执行令牌盗取动作,然后将令牌指针从SYSTEM进程中拷贝到目标进程,实现权限提升。

Windows 10 周年更新之所以能预防该漏洞利用,是因为字体解析全部发生在应用容器中而不是在内核。应用容器会创建隔离的沙箱,因而能够防止该字体漏洞利用及其他类型的漏洞利用获得权限提升。而且,Windows 10 平台还包含了额外的字体文件解析验证。

据微软透露,Windows 10 强化的目的,是要确保平台中的缓解技术能够对付多个漏洞利用,而不是专注于缓解某个特定漏洞。这些缓解技术要么能破坏漏洞利用方法,要么能封住整个类别的漏洞。微软还计划在 Windows 10 Creators 更新中将该预防措施提升一个水平,包含通用内核利用检测 Windows Defender ATP,期望能提高对基于零日漏洞利用的针对性攻击的可见性。

“通过放出这些缓解技术,我们提升了漏洞利用程序开发的成本,迫使攻击者围着新防御层打转。即便是针对流行RW原语的简单战术性缓解,都能迫使漏洞利用程序作者花费更多的时间和资源来查找新的攻击路径。通过将字体解析代码移动到隔离容器中,我们大幅降低了字体漏洞被用作提权途径的可能性。”微软如是说道。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章