Beveiliging is het belangrijkste verkoopargument van Microsoft voor de nieuwste versie van het desktopbesturingssysteem. De softwaregigant herhaalt nu dat hij dit doel serieus neemt door te illustreren hoe hij op een bepaald moment in 2016 enkele zero-day exploits verijdelde voordat patches beschikbaar kwamen.

Het Microsoft Malware Protection Center-team illustreerde hoe de nieuwste Windows 10-beveiligingsfuncties twee zero-day kwetsbaarheden versloegen in november 2016, zelfs voordat Microsoft deze fouten herstelde. Die beveiligingsfuncties waren onderdeel van de Jubileumupdate die Microsoft afgelopen zomer heeft uitgerold.

Microsoft zei dat het de exploits testte die gericht waren op mitigatiestrategieën die in augustus 2016 werden uitgebracht. Het doel was om aan te tonen hoe die technieken toekomstige zero-day exploits met dezelfde eigenschappen zouden kunnen mitigeren. Het bedrijf Redmond zei in een blogpost:

“Een belangrijk voordeel van de ontploffing van zero-day exploits is dat elke instantie een waardevolle gelegenheid is om te beoordelen hoe veerkrachtig een platform kan zijn - hoe mitigatietechnieken en extra defensieve lagen cyberaanvallen op afstand kunnen houden, terwijl kwetsbaarheden worden opgelost en patches worden opgelost wordt ingezet. Omdat het tijd kost om op kwetsbaarheden te zoeken en het vrijwel onmogelijk is om ze allemaal te vinden, kunnen dergelijke beveiligingsverbeteringen van cruciaal belang zijn bij het voorkomen van aanvallen op basis van zero-day exploits. ”

Microsoft zei ook dat het liet zien hoe technieken voor exploitbeperking in Windows 10 Anniversary Update exploitatiemethoden neutraliseerden bovenop de specifieke exploits zelf. Dit leidde tot de vermindering van de aanvalsoppervlakken die de weg zouden hebben vrijgemaakt voor toekomstige zero-day exploits.

Meer in het bijzonder onderzocht het team twee exploitaties op kernelniveau die STRONTIUM met geavanceerde persistente dreigementen gebruikte om Windows 10-gebruikers aan te vallen. Het team registreerde de exploit als CVE-2016-7255, die Microsoft in oktober 2016 ontdekte als onderdeel van een spear-phishing-campagne die gericht was op denktanks en niet-gouvernementele organisaties in de VS. De APT-groep combineerde de bug met een Adobe Flash Player-fout, een veel voorkomend ingrediënt bij veel aanvallen.

De tweede exploit is codenaam CVE-2016-7256, een OpenType font-of-privilege-exploit die opdook als onderdeel van de aanvallen op Zuid-Koreaanse slachtoffers in juni 2016. De twee exploiteren escaleerde privileges. De beveiligingstechnieken van Windows 10 die bij de Jubileumupdate werden geleverd, blokkeerden beide bedreigingen.