Windows 10-beveiliging kan sommige nieuwe zero-day exploits al tegenhouden

Microsoft heeft in de Windows 10 Anniversary Update een aantal features ingebakken die het besturingssysteem beter moeten beveiligen tegen zero-day exploits. Onderzoekers van het bedrijf hebben nu twee recente zero-day exploits geanalyseerd en komen tot de conclusie dat die al geen schade meer konden aanrichten in Windows 10 door die nieuwe beveiligingen. 

Microsoft heeft in augustus 2016 de Anniversary Update beschikbaar gemaakt en daarin nieuwe beveiligingsfeatures toegepast, waaronder het gebruik van AppContainer Sandboxing en betere validatie. Deze twee beveiligingen moeten voorkomen dat nieuwe zero-day lekken in Windows 10 eenvoudig kunnen worden misbruikt. Volgens de onderzoekers waren twee zero-day lekken die Microsoft recent heeft gepatched al onschadelijk voor Windows 10, omdat de nieuwe beveiligingen de exploits al buiten wisten te houden.

Het gaat om twee exploits die werd gebruikt door de Fancy Bear hackers tegen Amerikaanse organisaties en een exploit die gericht was op Zuid-Korea. Beide maakte gebruik van kernel-level exploits waarmee getracht werd meer toegang te krijgen tot het systeem. De methode die deze exploits gebruikte om meer rechten tot het systeem te krijgen werkt door de nieuwe beveiligingen niet meer en dat maakt de exploits nutteloos. Zo probeerde een exploit om misbruik te maken van onder meer een zero-day in de Flash Player om misbruik te maken van Windows tagWND.strName,  door de kernelstructuur hiervan te wijzigen werd getracht om lezen en schrijf rechten te bemachtigen. De nieuwe beveiliging zorgt er echter voor dat tagWND.strName nooit schrijfrechten mag hebben.

De andere exploit probeerde via font-parsing aanpassingen te doen in de kernel, maar doordat er nu een AppContainer aanwezig is, bleef die code binnen de container en werd deze nooit uitgevoerd op de kernel zelf. Microsoft is dus succesvol in het traceren en analyseren van de werkwijze van exploits, om deze wegen vervolgens dicht te timmeren met extra beveiligingen. In de volgende grote Windows-update wil Microsoft nog meer van dit soort beveiligingen toevoegen. De gemiddelde exploit zal binnenkort dus mogelijk niet meer werken, dat betekent dat de cybercriminelen creatiever zullen moeten worden.

Mogelijk is dit ook de reden waarom Microsoft adviseert om niet langer Windows 7 te gebruiken, maar sneller te upgraden naar Windows 10.