L’un des principaux objectifs de Microsoft quand il s’agit de la promotion de la société du dernier système d’exploitation Windows 10 est de marteler que Windows 10 est mieux pour la sécurité.
La société a publié un billet de blog récemment sur le Microsoft Malware Protection Center blog qui a illustré que par l’analyse de la façon dont Windows 10 manipulé deux 0-day exploits, ou mieux, comment il a protégé les systèmes des clients de ces exploits.
Les deux 0-day exploits en question sont CVE-2016-7255 et CVE-2016-7256 de la classe, à la fois patché par Microsoft sur le mois de novembre 2016 Patch Tuesday.
CVE-2016-7255, patché par MS16-135, a été utilisé en octobre 2016 dans un spear-phishing campagne contre un “petit nombre de think tanks et d’organisations non gouvernementales aux États-unis”. L’attaque utilisé un exploit dans Adobe Flash Player, CVE-2016-7855, pour accéder à des ordinateurs cibles, puis le noyau exploiter pour obtenir des privilèges élevés.
Le groupe d’attaque utilisé le Flash exploiter pour profiter d’un use-after-free de la vulnérabilité et de l’accès des ordinateurs ciblés. Ils ont ensuite tiré profit de la confusion de la vulnérabilité dans les win32k.sys (CVE-2016-7255) pour obtenir des privilèges élevés.
CVE-2016-7256 de la classe, patché par MS16-132, ont commencé à apparaître sur le radar en juin 2016, comme il a été utilisé dans un faible volume d’attaques principalement axé sur des cibles dans le Sud de la Corée”. Une attaque réussie a exploité une faille dans la bibliothèque de polices de Windows pour élever les privilèges, et l’installation d’une porte dérobée sur les systèmes cibles appelé Hankray.
Technique de Microsoft blog passe en grande longueur, décrivant à la fois les exploits.
L’emporter, cependant, est que Windows 10 systèmes d’exécution de l’Anniversaire de mise à Jour, ont été protégés contre les attaques avant même d’être corrigés par Microsoft des mises à jour de sécurité.
Dans le cas de CVE-2016-7255, l’exploit a été inefficace sur les appareils exécutant la version la plus récente de Windows 10 en raison de supplémentaires anti-exploiter les techniques introduites dans la mise à Jour Anniversaire. Cela a provoqué l’attaque inefficace contre ces systèmes, et le pire de ce qui s’est passé était le fait de lancer des exceptions et des erreurs sur écran bleu.
Pour CVE-2016-7256 de la classe, AppContainer isolement et autres polices d’analyse les méthodes de validation empêché l’exploit de travailler sur un dispositif qui exécute Windows 10 avec l’Anniversaire de mise à Jour installée.
Nous avons vu comment exploiter les techniques d’atténuation dans Windows 10 Anniversaire de la mise à Jour, qui a été publié le mois avant ces attaques zero-day, a réussi à neutraliser non seulement des exploits, mais aussi de leur exploiter des méthodes. Par conséquent, ces techniques d’atténuation permettent de réduire considérablement les surfaces d’attaques qui auraient été disponibles à l’avenir zero-day exploits.
Il convient de noter qu’au moins l’un des exploits, CVE-2016-7256 de la classe, les objectifs de Windows 8 et de Windows 10.
Microsoft a l’intention de faire d’autres améliorations de la sécurité de Windows 10 dans les prochains Créateurs de mise à Jour.