Bezpieczeństwo jest głównym punktem sprzedaży Microsoft dla najnowszej wersji systemu operacyjnego dla komputerów stacjonarnych. Gigant oprogramowania przypomina teraz, że poważnie podchodzi do tego celu, pokazując, w jaki sposób w pewnym momencie 2016 r. Udaremnił niektóre exploity zero-dniowe, zanim łatki stały się dostępne.

Zespół Microsoft Malware Protection Center zilustrował, w jaki sposób najnowsze funkcje bezpieczeństwa systemu Windows 10 pokonały dwie luki zero-day w listopadzie 2016 r., Nawet zanim Microsoft załatał te wady. Te funkcje bezpieczeństwa były częścią Anniversary Update, którą Microsoft wprowadził latem ubiegłego roku.

Microsoft powiedział, że testuje exploity ukierunkowane na strategie łagodzące opublikowane w sierpniu 2016 roku. Celem było wykazanie, w jaki sposób techniki te mogą złagodzić przyszłe exploity zero-day, które mają te same cechy. Firma Redmond powiedziała w poście na blogu:

„Kluczową różnicą w detonacji exploitów zero-day jest to, że każda instancja stanowi cenną okazję do oceny, jak odporna może być platforma - w jaki sposób techniki łagodzenia i dodatkowe warstwy obronne mogą powstrzymać cyberataki, a luki są usuwane, a łatki są usuwane wdrażany. Ponieważ szukanie luk w zabezpieczeniach zajmuje dużo czasu, a ich znalezienie jest praktycznie niemożliwe, takie ulepszenia bezpieczeństwa mogą mieć kluczowe znaczenie w zapobieganiu atakom opartym na exploitach zero-day ”.

Microsoft powiedział również, że zademonstrował, w jaki sposób techniki ograniczania exploitów w rocznicowej aktualizacji systemu Windows 10 zneutralizowały metody exploitów oprócz konkretnych exploitów. Doprowadziło to do zmniejszenia powierzchni ataku, które utorowałyby drogę przyszłym exploitom zero-day.

W szczególności zespół zbadał dwa exploity na poziomie jądra, które zaawansowana grupa trwałych zagrożeń STRONTIUM wykorzystała do próby ataku na użytkowników systemu Windows 10. Zespół zarejestrował exploita jako CVE-2016-7255, który Microsoft wykrył w październiku 2016 r. Jako część kampanii phishingowej skierowanej przeciwko włóczniom, skierowanej do think tanków i organizacji pozarządowych w USA. Grupa APT połączyła błąd z wadą Adobe Flash Playera, wspólny składnik wielu ataków.

Drugi exploit nosi nazwę kodową CVE-2016-7256, exploit z podniesieniem uprawnień OpenType, który pojawił się w ramach ataków na ofiary z Korei Południowej w czerwcu 2016 r. Oba przypadki zwiększyły uprawnienia. Techniki zabezpieczeń systemu Windows 10 dostarczone wraz z aktualizacją rocznicową blokowały oba zagrożenia.