एक डेवलपर ऐप में खोजी गई भेद्यता को ठीक करने के लिए एक पैच बनाता है, इससे पहले कि हमलावर इसके लिए मैलवेयर जारी करता है। इस घटना को कहा जाता है शून्य दिन का शोषण । जब भी कोई कंपनी के डेवलपर्स सॉफ़्टवेयर या एप्लिकेशन बनाते हैं, अंतर्निहित खतरे - इसमें एक भेद्यता मौजूद हो सकती है। डेवलपर पता लगाने से पहले खतरे का अभिनेता इस भेद्यता को खोज सकता है या इसे ठीक करने का मौका देता है।
हमलावर तब भी एक शोषण कोड लिख और लिख सकता है, जबकि भेद्यता अभी भी खुली और उपलब्ध है। हमलावर द्वारा शोषण के रिलीज के बाद, डेवलपर इसे स्वीकार करता है और समस्या को ठीक करने के लिए एक पैच बनाता है। हालांकि, एक बार पैच लिखा और उपयोग किया जाता है, तो शोषण अब शून्य-दिन का शोषण नहीं कहा जाता है।
विंडोज 10 शून्य-दिन शोषण कमजोर पड़ता है
माइक्रोसॉफ्ट ने लड़ने के साथ शून्य-दिन एक्सप्लॉयट अटैक को रोकने में कामयाब रहा है विस्फोट मिटिगेशन तथा स्तरित पहचान तकनीक विंडोज 10 में एस।
इन हमलों को हल करने के लिए पिछले कुछ वर्षों में माइक्रोसॉफ्ट सुरक्षा दल काम कर रहे हैं। विंडोज डिफेंडर एप्लिकेशन गार्ड जैसे विशेष उपकरण के माध्यम से, जो माइक्रोसॉफ़्ट एज ब्राउज़र के लिए एक सुरक्षित आभासी परत प्रदान करता है, और विंडोज डिफेंडर एडवांस्ड थ्रेट प्रोटेक्शन, क्लाउड-आधारित सेवा जो अंतर्निहित विंडोज 10 सेंसर से डेटा का उपयोग करके उल्लंघनों की पहचान करती है, यह प्रबंधित है विंडोज प्लेटफ़ॉर्म पर सुरक्षा ढांचे को कसने और नई खोजी और यहां तक कि अनजान भेद्यता के विस्फोटों को रोकने के लिए।
माइक्रोसॉफ्ट दृढ़ता से मानता है, रोकथाम इलाज से बेहतर है। जैसे-जैसे यह शमन तकनीक और अतिरिक्त रक्षात्मक परतों पर अधिक जोर देता है जो कमजोर पड़ने वाले हैं और पैच तैनात किए जा रहे हैं, जबकि साइबर-हमलों को खाड़ी में रखा जा सकता है। क्योंकि यह एक स्वीकार्य सत्य है कि कमजोरियों को खोजने में काफी समय और प्रयास होते हैं और उन सभी को ढूंढना लगभग असंभव है। इसलिए, उपर्युक्त सुरक्षा उपाय होने पर शून्य-दिन के शोषण के आधार पर हमलों को रोकने में मदद मिल सकती है।
हाल के 2 कर्नल-स्तरीय शोषण, के आधार पर CVE-2016-7255 तथा CVE-2016-7256 बिंदु में एक मामला है।
सीवीई-2016-7255 शोषण: विशेषाधिकार की Win32k उन्नयन
पिछले साल, स्ट्रॉंटियम हमला समूह संयुक्त राज्य अमेरिका में एक छोटी संख्या में थिंक टैंक और गैर सरकारी संगठनों को लक्षित करने वाले भाले-फ़िशिंग अभियान को लॉन्च किया। हमले अभियान में दो शून्य-दिन की भेद्यताएं थीं एडोब फ्लैश और डाउन-स्तरीय विंडोज कर्नेल ग्राहकों के एक विशिष्ट सेट को लक्षित करने के लिए। फिर उन्होंने ' प्रकार- भ्रम उन्नत विशेषाधिकार प्राप्त करने के लिए win32k.sys (सीवीई-2016-7255) में भेद्यता।
भेद्यता मूल रूप से पहचाना गया था Google की धमकी विश्लेषण समूह। यह पाया गया कि विंडोज 10 वीं वर्षगांठ अद्यतन पर माइक्रोसॉफ्ट एज का उपयोग करने वाले ग्राहक जंगली में इस हमले के संस्करणों से सुरक्षित थे। इस खतरे का मुकाबला करने के लिए, माइक्रोसॉफ्ट ने इस दुर्भावनापूर्ण अभियान की जांच करने और विंडोज के डाउन-स्तरीय संस्करणों के लिए पैच बनाने के लिए Google और Adobe के साथ समन्वय किया। इन पंक्तियों के साथ, विंडोज के सभी संस्करणों के लिए पैच का परीक्षण और बाद में अद्यतन के रूप में सार्वजनिक रूप से जारी किया गया था।
हमलावर द्वारा तैयार किए गए सीवीई-2016-7255 के लिए विशिष्ट शोषण के आंतरिक लोगों की पूरी तरह से जांच से पता चला कि कैसे माइक्रोसॉफ्ट की शमन तकनीक ने ग्राहकों को शोषण से प्रीपेप्टिव सुरक्षा प्रदान की, भेद्यता को ठीक करने के विशिष्ट अपडेट को छोड़ने से पहले भी।
उपरोक्त के रूप में आधुनिक शोषण, कोड निष्पादन प्राप्त करने या अतिरिक्त विशेषाधिकार प्राप्त करने के लिए रीड-राइट (आरडब्ल्यू) प्राइमेटिव पर भरोसा करते हैं। यहां भी, हमलावरों ने भ्रष्टाचार से आरडब्ल्यू प्राइमेटिव का अधिग्रहण किया tagWND.strName कर्नेल संरचना। इंजीनियरिंग को रिवर्स इंजीनियरिंग द्वारा, माइक्रोसॉफ्ट ने पाया कि अक्टूबर 2016 में स्ट्रॉन्टियम द्वारा उपयोग किए गए Win32k शोषण ने एक ही विधि का पुन: उपयोग किया। शुरुआती Win32k भेद्यता के बाद शोषण, टैग WND.strName संरचना को दूषित कर दिया और कर्नेल मेमोरी में कहीं भी मनमानी सामग्री लिखने के लिए SetWindowTextW का उपयोग किया।
Win32k शोषण और इसी तरह के शोषण के प्रभाव को कम करने के लिए, विंडोज आपत्तिजनक सुरक्षा अनुसंधान टीम (ओएसआर) ने विंडोज 10 वीं वर्षगांठ अद्यतन में तकनीकों की शुरुआत की जो टैगडब्ल्यूएन.स्ट्रनाम के अपमानजनक उपयोग को रोकने में सक्षम हैं। शमन ने बेस और लम्बाई क्षेत्रों के लिए अतिरिक्त जांच की है ताकि यह सुनिश्चित किया जा सके कि वे आरडब्ल्यू प्राइमेटिव्स के लिए उपयोग योग्य नहीं हैं।
सीवीई-2016-7256 शोषण: विशेषाधिकार का खुला प्रकार फ़ॉन्ट ऊंचाई
नवंबर 2016 में, अज्ञात अभिनेताओं को एक दोष का शोषण करने का पता चला विंडोज फ़ॉन्ट लाइब्रेरी (सीवीई-2016-7256) विशेषाधिकारों को बढ़ाने और हांक्रे बैक दरवाजा स्थापित करने के लिए - दक्षिण कोरिया में विंडोज के पुराने संस्करणों वाले कंप्यूटरों में कम मात्रा में हमले करने के लिए एक प्रत्यारोपण।
द्वितीयक निष्पादन योग्य या स्क्रिप्ट टूल, जिसे पुनर्प्राप्त नहीं किया गया था, कर्नेल एपीआई और लक्षित सिस्टम पर कर्नेल संरचनाओं का शोषण करने के लिए आवश्यक हार्डकोडेड ऑफसेट को फ़ॉन्ट शोषण, गणना और तैयार करने की कार्रवाई करने के लिए दिखाई दिया। विंडोज 8 से विंडोज 10 तक सिस्टम को अपडेट करने से वर्षगांठ अपडेट ने कमजोर कोड तक पहुंचने के लिए सीवीई-2016-7256 के लिए शोषण कोड को रोका। अद्यतन न केवल विशिष्ट शोषण बल्कि उनके शोषण विधियों को बेअसर करने में कामयाब रहा।
निष्कर्ष: स्तरित पहचान और शमन का शोषण करने के माध्यम से, माइक्रोसॉफ्ट सफलतापूर्वक शोषण विधियों को तोड़ता है और कमजोरियों की पूरी कक्षाओं को बंद कर देता है। नतीजतन, इन शमन तकनीकें हमले के उदाहरणों को काफी कम कर रही हैं जो भविष्य के शून्य-दिन के शोषण के लिए उपलब्ध हो सकती हैं।
इसके अलावा, इन शमन तकनीकों को वितरित करके, माइक्रोसॉफ्ट ने हमलावरों को नई रक्षा परतों के आसपास के तरीकों को खोजने के लिए मजबूर कर दिया है। उदाहरण के लिए, अब, लोकप्रिय आरडब्ल्यू प्राइमेटिव्स के खिलाफ भी सरल सामरिक शमन ने लेखकों को नए हमले के मार्ग खोजने में अधिक समय और संसाधन खर्च करने के लिए मजबूर किया है। साथ ही, फ़ॉन्ट पार्सिंग कोड को एक अलग कंटेनर में ले जाकर, कंपनी ने विशेषाधिकार वृद्धि के लिए वैक्टर के रूप में उपयोग की जाने वाली फ़ॉन्ट बग की संभावना को कम कर दिया है।
उपरोक्त वर्णित तकनीकों और समाधानों के अलावा, विंडोज 10 वर्षगांठ अपडेट कोर विंडोज घटकों और माइक्रोसॉफ्ट एज ब्राउज़र में कई अन्य शमन तकनीकों का परिचय देते हैं, जिससे अनजान भेद्यता के रूप में पहचाने गए शोषण की श्रृंखला से सिस्टम की सुरक्षा होती है।
