Sicherheit ist das Hauptverkaufsargument von Microsoft für die neueste Version seines Desktop-Betriebssystems. Der Software-Riese bekräftigt nun, dass es mit diesem Ziel ernst ist, indem er beispielhaft veranschaulicht, wie es 2016 einige Zero-Day-Exploits vereitelt hat, bevor Patches verfügbar wurden.

Das Team von Microsoft Malware Protection Center hat veranschaulicht, wie die neuesten Windows 10-Sicherheitsfunktionen im November 2016 zwei Zero-Day-Sicherheitsanfälligkeiten beseitigt haben, noch bevor Microsoft diese Mängel behoben hat. Diese Sicherheitsfunktionen waren Teil des Jubiläumsupdates, das Microsoft im vergangenen Sommer eingeführt hat.

Microsoft gab an, die Exploits getestet zu haben, die im August 2016 veröffentlicht wurden. Ziel war es, aufzuzeigen, wie diese Techniken zukünftige Zero-Day-Exploits mit denselben Merkmalen abmildern können. Die Firma Redmond sagte in einem Blogbeitrag:

„Eine wichtige Erkenntnis aus der Detonation von Zero-Day-Exploits ist, dass jede Instanz eine wertvolle Gelegenheit darstellt, um zu bewerten, wie robust eine Plattform sein kann - wie Schadensbegrenzungstechniken und zusätzliche Verteidigungsschichten Cyberangriffe in Schach halten können, während Schwachstellen behoben und Patches behoben werden eingesetzt werden. Da die Suche nach Schwachstellen einige Zeit in Anspruch nimmt und es praktisch unmöglich ist, alle zu finden, können solche Sicherheitsverbesserungen entscheidend sein, um Angriffe auf der Grundlage von Zero-Day-Exploits zu verhindern. “

Microsoft hat außerdem gezeigt, wie Exploit-Abhilfemethoden in Windows 10 Anniversary Update die Exploit-Methoden zusätzlich zu den spezifischen Exploits selbst neutralisierten. Dies führte zu einer Reduzierung der Angriffsflächen, die den Weg für zukünftige Zero-Day-Exploits geebnet hätten.

Insbesondere untersuchte das Team zwei Exploits auf Kernel-Ebene, mit denen die erweiterte Bedrohungsgruppe STRONTIUM versucht hat, Windows 10-Benutzer anzugreifen. Das Team protokollierte den Exploit als CVE-2016-7255, den Microsoft im Oktober 2016 im Rahmen einer Spear-Phishing-Kampagne entdeckte, die auf Think Tanks und Nichtregierungsorganisationen in den USA abzielte. Die APT-Gruppe kombinierte den Fehler mit einem Fehler in Adobe Flash Player häufige Zutat bei vielen Angriffen.

Der zweite Exploit mit dem Codenamen CVE-2016-7256 ist ein OpenType-Exploit zur Erhöhung von Berechtigungen, der im Rahmen der Angriffe auf südkoreanische Opfer im Juni 2016 aufgetaucht ist. Die beiden Exploits eskalierten die Berechtigungen. Die mit dem Jubiläumsupdate gelieferten Windows 10-Sicherheitstechniken haben beide Bedrohungen blockiert.