Un enfoque clave de Microsoft cuando se trata de promover el último sistema operativo de la compañía, Windows 10, es insistir en que Windows 10 es mejor para la seguridad.
La compañia publicado una publicación de blog reciente en el blog del Centro de protección contra malware de Microsoft que ejemplificó eso al analizar cómo Windows 10 manejó dos exploits de día cero, o mejor, cómo protegió los sistemas de los clientes de esos exploits.
Los dos exploits de 0 días en cuestión son CVE-2016-7255 y CVE-2016-7256, ambos parcheados por Microsoft el martes de parche de noviembre de 2016.
CVE-2016-7255, parcheado por MS16-135, se utilizó en octubre de 2016 en una campaña de spear-phishing contra un «pequeño número de think tanks y organizaciones no gubernamentales en los Estados Unidos». El ataque utilizó un exploit en Adobe Flash Player, CVE-2016-7855, para obtener acceso a las computadoras de destino, y luego el exploit del kernel para obtener privilegios elevados.
El grupo atacante utilizó el exploit Flash para aprovechar una vulnerabilidad de uso después de la liberación y acceder a las computadoras específicas. Luego aprovecharon la vulnerabilidad de confusión de tipos en win32k.sys (CVE-2016-7255) para obtener privilegios elevados.
CVE-2016-7256, parcheado por MS16-132, comenzó a aparecer en el radar en junio de 2016, ya que se utilizó en «ataques de bajo volumen centrados principalmente en objetivos en Corea del Sur». Un ataque exitoso aprovechó una falla en la biblioteca de fuentes de Windows para elevar los privilegios e instalar una puerta trasera en los sistemas de destino llamada Hankray.
La publicación del blog técnico de Microsoft es muy extensa y describe ambas vulnerabilidades.
Sin embargo, la conclusión es que los sistemas Windows 10 que estaban ejecutando la Actualización de aniversario estaban protegidos contra ambos ataques incluso antes de ser parcheados por las actualizaciones de seguridad de Microsoft.
En el caso de CVE-2016-7255, el exploit no fue efectivo en dispositivos que ejecutan la versión más reciente de Windows 10 debido a técnicas adicionales anti-exploit introducidas en la Actualización de aniversario. Esto hizo que el ataque fuera ineficaz contra esos sistemas, y lo peor que sucedió fue el lanzamiento de excepciones y errores de pantalla azul.
Para CVE-2016-7256, el aislamiento de AppContainer y los métodos adicionales de validación de análisis de fuentes impidieron que el exploit funcionara en un dispositivo que ejecutaba Windows 10 con la Actualización de aniversario instalada.
Vimos cómo las técnicas de mitigación de exploits en Windows 10 Anniversary Update, que se lanzó meses antes de estos ataques de día cero, lograron neutralizar no solo los exploits específicos sino también sus métodos de exploit. Como resultado, estas técnicas de mitigación están reduciendo significativamente las superficies de ataque que habrían estado disponibles para futuros exploits de día cero.
Cabe señalar que al menos uno de los exploits, CVE-2016-7256, se dirige a los sistemas Windows 8 y no a Windows 10.
Microsoft planea realizar más mejoras de seguridad en Windows 10 en la próxima Creators Update.