Uno de los principales objetivos de Microsoft a la hora de promocionar el último sistema operativo de la empresa, Windows 10, es demostrar que Windows 10 es mejor para la seguridad.
La empresa publicó recientemente una entrada en el blog del Centro de protección contra el malware de Microsoft en la que se ejemplificaba que al analizar cómo Windows 10 manejaba dos exploits de 0 días, o mejor dicho, cómo protegía los sistemas de los clientes de esos exploits.
Los dos exploits de 0 días en cuestión son CVE-2016-7255 y CVE-2016-7256, ambos parcheados por Microsoft en el Patch Tuesday de noviembre de 2016.
CVE-2016-7255, parcheado por MS16-135, fue utilizado en octubre de 2016 en una campaña de pesca submarina contra un “pequeño número de think tanks y organizaciones no gubernamentales en los Estados Unidos”. El ataque utilizó un exploit en Adobe Flash Player, CVE-2016-7855, para obtener acceso a los ordenadores objetivo, y luego el exploit del kernel para obtener privilegios elevados.
El grupo de ataque utilizó el exploit de Flash para aprovechar una vulnerabilidad de uso posterior y acceder a los ordenadores objetivo. Luego aprovecharon la vulnerabilidad de confusión tipográfica en win32k.sys (CVE-2016-7255) para obtener privilegios elevados.
CVE-2016-7256, parcheado por MS16-132, comenzó a aparecer en el radar en junio de 2016, ya que se utilizaba en “ataques de bajo volumen centrados principalmente en objetivos en Corea del Sur”. Un ataque exitoso explotó una falla en la biblioteca de fuentes de Windows para elevar los privilegios e instalar una puerta trasera en los sistemas de destino llamada Hankray.
La entrada técnica del blog de Microsoft se extiende mucho describiendo ambas hazañas.
Sin embargo, la ventaja es que los sistemas Windows 10 que estaban ejecutando la actualización del aniversario, estaban protegidos contra ambos ataques incluso antes de ser parcheados por las actualizaciones de seguridad de Microsoft.
En el caso de CVE-2016-7255, el exploit fue ineficaz en los dispositivos que ejecutan la versión más reciente de Windows 10 debido a las técnicas antiexplotación adicionales introducidas en la actualización Anniversary Update. Esto causó que el ataque fuera ineficaz contra esos sistemas, y lo peor que sucedió fue el lanzamiento de excepciones y errores de pantalla azul.
Para CVE-2016-7256, el aislamiento de AppContainer y los métodos adicionales de validación de análisis de fuentes impidieron que la vulnerabilidad funcionara en un dispositivo que ejecutara Windows 10 con la actualización Anniversary Update instalada.
Vimos cómo las técnicas de mitigación de exploits en Windows 10 Anniversary Update, que se publicó meses antes de estos ataques de día cero, lograron neutralizar no sólo los exploits específicos sino también sus métodos de explotación. Como resultado, estas técnicas de mitigación están reduciendo significativamente las superficies de ataque que habrían estado disponibles para futuras hazañas de día cero.
Hay que tener en cuenta que al menos uno de los exploits, CVE-2016-7256, se dirige a sistemas Windows 8 y no a Windows 10.
Microsoft tiene previsto realizar más mejoras de seguridad en Windows 10 en la próxima Creators Update.
Resumen Article NameMicrosoft: Endurecimiento de Windows 10 contra ataques de 0 díasDescripciónMicrosoft reveló recientemente cómo el sistema operativo Windows 10 de la empresa bloqueó con éxito dos ataques de 0 días para evitar que penetraran en las defensas del sistema.AuthorMartin Brinkmann