Zabezpečení je hlavním prodejním místem společnosti Microsoft pro nejnovější verzi operačního systému pro stolní počítače. Softwarový gigant nyní opakuje, že s tímto cílem je to vážné, a to příkladem toho, jak v určitém okamžiku v roce 2016 zmařil některé vykořisťování v nultý den, než byly náplasti k dispozici.

Tým centra Microsoft Malware Protection Center ilustroval, jak nejnovější bezpečnostní funkce systému Windows 10 v listopadu 2016 porazily dvě zranitelnosti v nultém dni ještě předtím, než Microsoft tyto nedostatky napravil. Tyto funkce zabezpečení byly součástí výroční aktualizace, kterou společnost Microsoft představila minulé léto.

Společnost Microsoft uvedla, že testováním exploitů byla cílená strategie zmírňování zveřejněná v srpnu 2016. Cílem bylo ukázat, jak by tyto techniky mohly zmírnit budoucí exploatace s nulovými dny, které mají stejné vlastnosti. Společnost Redmond v příspěvku na blogu uvedla:

„Klíčovým krokem od detonace explozí nulového dne je to, že každá instance představuje cennou příležitost posoudit, jak odolná platforma může být - jak techniky zmírňování a další obranné vrstvy mohou udržet kybernetické útoky na uzdě, zatímco zranitelnosti jsou opravovány a opravovány jsou náplasti rozmístění. Protože hledání slabých míst vyžaduje lov a je prakticky nemožné je všechny najít, může být taková vylepšení zabezpečení rozhodující pro zabránění útokům založeným na zneužití v nulové dny. “

Společnost Microsoft také uvedla, že prokázala, jak techniky zmírňování zneužití v aktualizaci Windows 10 Anniversary Update neutralizovaly metody zneužití kromě samotných konkrétních zneužití. To vedlo ke zmenšení útočných ploch, které by vydláždily cestu pro budoucí nulové využití.

Konkrétně tým zkoumal dva využití jádra, které pokročilá skupina přetrvávajících hrozeb STRONTIUM použila k pokusu o útok na uživatele Windows 10. Tým zaznamenal zneužití jako CVE-2016-7255, které Microsoft zjistil v říjnu 2016 jako součást kampaně oštěpování phishingu, která cílila think tanky a nevládní organizace v USA. Skupina APT spojila chybu s chybou Adobe Flash Player, společnou složkou mnoha útoků.

Druhé vykořisťování se nazývá CVE-2016-7256, což je vykořisťování typu OpenType, které se vynořilo v rámci útoků na jihokorejské oběti v červnu 2016. Oba vykořisťovali eskalovaná privilegia. Techniky zabezpečení systému Windows 10, které byly dodány s aktualizací výročí, zablokovaly obě hrozby.