Bahkan sebelum pengembang membuat patch untuk memperbaiki kerentanan yang ditemukan di aplikasi, penyerang melepaskan malware untuknya. Acara ini disebut sebagai Eksploitasi zero-day. Kapan pun pengembang perusahaan membuat perangkat lunak atau aplikasi, bahaya yang melekat - kerentanan mungkin ada di dalamnya. Aktor ancaman dapat mengenali kerentanan ini sebelum pengembang menemukan atau memiliki kesempatan untuk memperbaikinya.
Penyerang dapat kemudian, menulis dan menerapkan kode eksploitasi sementara kerentanan masih terbuka dan tersedia. Setelah rilis eksploit oleh penyerang, pengembang mengakuinya dan membuat patch untuk memperbaiki masalah. Namun, setelah tambalan ditulis dan digunakan, eksploit tidak lagi disebut eksploit zero-day.
Windows 10 Zero-day memanfaatkan mitigasi
Microsoft telah berhasil mencegah Serangan Exploit zero-day dengan berkelahi Memanfaatkan Mitigasi dan Teknik Deteksi Berlapisdi Windows 10.
Tim keamanan Microsoft selama bertahun-tahun telah bekerja sangat keras untuk mengatasi serangan ini. Melalui alat-alat khusus seperti Windows Defender Application Guard, yang menyediakan lapisan virtual yang aman untuk peramban Microsoft Edge, dan Windows Defender Advanced Threat Protection, layanan berbasis cloud yang mengidentifikasi pelanggaran menggunakan data dari sensor Windows 10 bawaan, telah dikelola untuk mengencangkan kerangka keamanan pada platform Windows dan menghentikan Eksploitasi kerentanan yang baru ditemukan dan bahkan dirahasiakan.
Microsoft yakin, pencegahan lebih baik daripada mengobati. Karena itu meletakkan penekanan lebih pada teknik mitigasi dan lapisan pertahanan tambahan yang dapat menjaga serangan cyber di teluk sementara kerentanan sedang diperbaiki dan tambalan sedang dikerahkan. Karena itu adalah kebenaran yang diterima bahwa menemukan kerentanan membutuhkan banyak waktu dan upaya dan hampir tidak mungkin untuk menemukan semuanya. Jadi, memiliki langkah-langkah keamanan yang disebutkan di atas dapat membantu dalam mencegah serangan berdasarkan eksploitasi zero-day.
2 eksploitasi tingkat kernel terbaru, berdasarkan CVE-2016-7255 dan CVE-2016-7256 adalah contohnya.
CVE-2016-7255 mengeksploitasi: Win32k elevasi hak istimewa
Tahun lalu, STRONTIUM grup serangan meluncurkan kampanye spear-phishing yang menargetkan sejumlah kecil lembaga think tank dan organisasi nonpemerintah di Amerika Serikat. Kampanye serangan menggunakan dua kerentanan zero-day di Adobe Flash dan kernel Windows tingkat bawah untuk menargetkan sekumpulan pelanggan tertentu. Mereka kemudian memanfaatkan ‘ tipe-kebingungan ‘Kerentanan dalam win32k.sys (CVE-2016-7255) untuk mendapatkan hak istimewa yang tinggi.
Kerentanan pada awalnya diidentifikasi oleh Grup Analisis Ancaman Google. Ditemukan pelanggan menggunakan Microsoft Edge pada Windows 10 Anniversary Update aman dari versi serangan ini yang diamati di alam liar. Untuk mengatasi ancaman ini, Microsoft berkoordinasi dengan Google dan Adobe untuk menyelidiki kampanye berbahaya ini dan membuat patch untuk versi Windows tingkat bawah. Sepanjang garis-garis ini, tambalan untuk semua versi Windows diuji dan dirilis sesuai dengan pembaruannya nanti, secara publik.
Investigasi menyeluruh ke internal eksploitasi khusus untuk CVE-2016-7255 yang dibuat oleh penyerang mengungkapkan bagaimana teknik mitigasi Microsoft memberikan perlindungan preemptif kepada pelanggan dari eksploit, bahkan sebelum rilis pembaruan spesifik yang memperbaiki kerentanan.
Eksploitasi modern seperti di atas, mengandalkan read-write (RW) primitif untuk mencapai eksekusi kode atau mendapatkan hak istimewa tambahan. Di sini juga, penyerang memperoleh RW primitif dengan merusak tagWND.strName struktur kernel. Dengan reverse engineering kodenya, Microsoft menemukan bahwa eksploit Win32k yang digunakan oleh STRONTIUM pada Oktober 2016 menggunakan kembali metode yang sama persis. Eksploitasi, setelah kerentanan Win32k awal, struktur tagWND.strName rusak dan menggunakan SetWindowTextW untuk menulis konten arbitrer di mana pun dalam memori kernel.
Untuk mengurangi dampak dari eksploitasi Win32k dan eksploitasi serupa, Tim Riset Keamanan Serangan Windows (OSR) memperkenalkan teknik dalam Pembaruan Ulang Tahun Windows 10 yang mampu mencegah penyalahgunaan tagWND.strName. Mitigasi tersebut melakukan pemeriksaan tambahan untuk bidang pangkalan dan panjang yang memastikan bahwa mereka tidak dapat digunakan untuk RW primitif.
CVE-2016-7256 mengeksploitasi: Open type font elevation of privilege
Pada bulan November 2016, aktor yang tidak dikenal terdeteksi mengeksploitasi kelemahan di Perpustakaan Windows Font (CVE-2016-7256) untuk meningkatkan hak istimewa dan menginstal pintu belakang Hankray - sebuah implan untuk melakukan serangan dalam volume rendah di komputer dengan versi Windows yang lebih lama di Korea Selatan.
Alat executable atau skrip sekunder, yang tidak ditemukan, muncul untuk melakukan tindakan menjatuhkan font mengeksploitasi, menghitung dan menyiapkan hardcoded offset yang diperlukan untuk mengeksploitasi API kernel dan struktur kernel pada sistem yang ditargetkan. Memperbarui sistem dari Windows 8 ke Windows 10 Anniversary Update mencegah kode eksploitasi untuk CVE-2016-7256 untuk mencapai kode rentan. Pembaruan berhasil menetralkan tidak hanya eksploit spesifik tetapi juga metode eksploitasi mereka.
Kesimpulan: Melalui deteksi berlapis dan memanfaatkan mitigasi, Microsoft berhasil memecah metode eksploit dan menutup seluruh kelas kerentanan. Akibatnya, teknik mitigasi ini secara signifikan mengurangi contoh serangan yang dapat tersedia untuk eksploitasi zero-day di masa depan.
Selain itu, dengan memberikan teknik mitigasi ini, Microsoft telah memaksa penyerang untuk menemukan cara di sekitar lapisan pertahanan baru. Misalnya, sekarang, bahkan mitigasi taktis sederhana melawan primitif RW populer memaksa penulis mengeksploitasi untuk menghabiskan lebih banyak waktu dan sumber daya dalam menemukan rute serangan baru. Juga, dengan memindahkan kode penguraian font ke wadah terisolasi, perusahaan telah mengurangi kemungkinan bug font digunakan sebagai vektor untuk eskalasi hak istimewa.
Terlepas dari teknik dan solusi yang disebutkan di atas, Windows 10 Anniversary Updates memperkenalkan banyak teknik mitigasi lainnya di komponen inti Windows dan browser Microsoft Edge sehingga menjaga sistem dari berbagai eksploitasi yang diidentifikasi sebagai kerentanan yang dirahasiakan.
