El nuevo modelo de Windows como servicio de Microsoft ha ayudado a Microsoft a implementar nuevas mitigaciones de amenazas y protección contra amenazas más rápido que en el modelo anterior, en el que se producían nuevas versiones cada tres años.
Windows como un servicio evoluciona el sistema operativo constantemente, o más precisamente, dos veces al año con actualizaciones de características alrededor de marzo y septiembre de cada año.
Una nueva entrada en el blog de Technet compara el viejo modelo de lanzamiento con el nuevo en lo que respecta a la mitigación de amenazas, y destaca las mejoras y avances que Microsoft ha realizado desde el lanzamiento de Windows 10.
Avances en la mitigación de amenazas de Windows 10
El autor compara la explotación de hace una década con las técnicas de explotación que se utilizan hoy en día. La ventaja de Microsoft fue que el lanzamiento más rápido de las actualizaciones de las características de Windows 10 reduciría el impacto que las nuevas técnicas de explotación tenían en la población de Windows.
El gráfico que se muestra arriba muestra las nuevas técnicas de mitigación de amenazas que Microsoft agregó a las primeras cuatro versiones de Windows 10.
El artículo del blog destaca importantes mitigaciones posteriores:
- User Mode Font Driver (UMFD) — Una característica implementada en la versión original de Windows 10. Movió el procesamiento de fuentes a un App Container en el modo de usuario. Además, los administradores pueden desactivar el procesamiento de fuentes no confiables para un proceso mediante la directiva Process Font Disable. (consulte Bloquear programas para evitar que carguen fuentes no confiables en Windows 10)
- Win32k Syscall Filtering — El subsistema Win32k es el objetivo número uno para escapar del arenero debido a su gran superficie de ataque y sus 1200 APIs. La característica limita la lista de APIs a las que se puede apuntar.
- Less Privileged App Container (LPAC) — LPAC es una versión restringida de App Container que niega el acceso por defecto.
- Protección contra sobreescritura de manejo de excepciones estructuradas (SEHOP) — Diseñado para bloquear técnicas de explotación que usan la técnica de sobreescritura de manejo de excepciones estructuradas (SEH).
- Aleatorización de la distribución del espacio de direcciones (ASLR) — Esta técnica carga bibliotecas de enlaces dinámicos en el espacio de direcciones de memoria aleatoria para mitigar los ataques que se dirigen a ubicaciones de memoria específicas.
- Protecciones en pilas — Windows 10 protege el montón de varias maneras, por ejemplo usando el endurecimiento de metadatos en pilas, y a través de páginas de protección en pilas.
- Protecciones de la reserva del kernel — Protege la memoria que utiliza el kernel.
- Control Flow Guard — Necesita ser compilado en programas de software. Microsoft agregó esto a Edge, Internet Explorer 11 y otras características de Windows 10. Control Flow Guard detecta si un ataque cambia el “flujo previsto de código”.
- Procesos protegidos — Los procesos protegidos son procesos importantes o críticos del sistema. Windows 10 evita que los procesos no confiables alteren los procesos protegidos. En Windows 10, las aplicaciones de seguridad se pueden colocar en el espacio de proceso protegido.
- Las protecciones de las aplicaciones universales de Windows — aplicaciones de Windows Store — programas UWP y Win32 convertidos — son examinadas antes de que estén disponibles.
- No Child Proc — Diseñado para bloquear la ejecución de código lanzando procesos hijo.
Microsoft menciona los objetivos principales al implementar mitigaciones de amenazas en Windows 10 posteriormente:
Reducir la superficie de ataque de Windows Platform
Saca el blanco suave de la imagen
Elimina las técnicas de explotación existentes, por lo que es necesario encontrar nuevas técnicas. Reduci