Niin kauan kuin Windows on edelleen suosittu hyökkäyskohde, tutkijat ja hakkerit jatkavat alustan hakkaamista paljastamaan edistyneitä strategioita Microsoftin puolustuksen kumoamiseksi.
Tietoturvapalkki on paljon korkeampi kuin aiemmin, koska Microsoft on lisännyt useita edistyneitä Windows 10: n lievennyksiä, jotka poistavat kokonaisia hyökkäysluokkia. Tämän vuoden Black Hat -konferenssin hakkerit olivat aseistettu hienostuneilla hyödyntämistekniikoilla, mutta hiljaisesti tunnustettiin, että onnistuneen tekniikan kehittäminen on nyt paljon vaikeampaa Windows 10: n kanssa. Murtaminen Windowsiin käyttöjärjestelmän haavoittuvuuden kautta on vaikeampi kuin edes muutama vuosi sitten.
Käytä sisäänrakennettuja haittaohjelmien torjuntatyökaluja
Microsoft on kehittänyt haittaohjelmien skannausliittymän (AMSI) työkalut, jotka voivat sieppata haitalliset komentosarjat muistiin. Mikä tahansa sovellus voi soittaa sille, ja mikä tahansa rekisteröity haittaohjelmien torjuntaohjelma voi käsitellä AMSI: lle lähetettyä sisältöä, sanoi tunkeutumistestauslaite ja NoSoSecuren apulaiskonsultti Nikhal Mittal Black Hat -istunnon osallistujille. Windows Defender ja AVG käyttävät tällä hetkellä AMSI: tä, ja sen pitäisi tulla laajemmin käyttöön.
"AMSI on iso askel kohti komentosarjapohjaisten hyökkäysten estämistä Windowsissa", Mittal sanoi.
Verkkorikolliset luottavat yhä enemmän komentosarjapohjaisiin hyökkäyksiin, erityisesti niihin, jotka suorittavat PowerShelliä, osana kampanjoitaan. Organisaatioiden on vaikea löytää hyökkäyksiä PowerShellin avulla, koska niitä on vaikea erottaa laillisesta käyttäytymisestä. Se on myös vaikea palauttaa, koska PowerShell-komentosarjoja voidaan käyttää koskettamaan mitä tahansa järjestelmän tai verkon osa-aluetta. Kun käytännössä jokaisessa Windows-järjestelmässä on nyt esiasennettu PowerShell, komentosarjapohjaisista hyökkäyksistä on tulossa paljon yleisempiä.
Rikolliset alkoivat käyttää PowerShelliä ja ladata komentosarjoja muistiin, mutta puolustajilla kesti jonkin aikaa kiinni. "Kukaan ei välittänyt PowerShellistä vasta muutama vuosi sitten", Mittal sanoi. "Skriptejä ei löydy lainkaan. Virustentorjuntatoimittajat ovat ottaneet sen vastaan vain viimeisten kolmen vuoden aikana. "
Vaikka levylle tallennettuja komentosarjoja on helppo havaita, muistiin tallennettujen komentosarjojen suorittaminen ei ole niin helppoa. AMSI yrittää saada komentosarjat isäntätasolla, mikä tarkoittaa, että syöttötavalla - olipa se sitten levylle tallennettu, muistiin tallennettu tai vuorovaikutteinen - ei ole väliä, joten siitä tulee "pelinvaihtaja", kuten Mittal sanoi.
AMSI ei kuitenkaan voi olla yksin, koska hyödyllisyys riippuu muista suojausmenetelmistä. Komentosarjapohjaisten hyökkäysten on erittäin vaikea suorittaa ilman lokien luomista, joten on tärkeää, että Windowsin järjestelmänvalvojat seuraavat säännöllisesti PowerShell-lokejaan.
AMSI ei ole täydellinen - se on vähemmän hyödyllistä havaita hämmentyneitä skriptejä tai epätavallisista paikoista, kuten WMI-nimiavaruudesta, rekisteriavaimista ja tapahtumalokeista, ladattuja komentosarjoja. PowerShell-komentosarjat, jotka on suoritettu käyttämättä powershell.exe-tiedostoa (työkalut, kuten verkkokäytäntöpalvelin), voivat myös laukaista AMSI: n. On olemassa tapoja ohittaa AMSI, kuten muuttaa komentosarjojen allekirjoitusta, käyttää PowerShell-versiota 2 tai poistaa AMSI käytöstä. Siitä huolimatta Mittal pitää AMSI: tä edelleen "Windowsin hallinnon tulevaisuutena".
Suojaa kyseinen Active Directory
Active Directory on Windowsin hallinnon kulmakivi, ja siitä on tulossa vieläkin kriittisempi komponentti, kun organisaatiot jatkavat työmääränsä siirtämistä pilveen. AD: tä, jota ei enää käytetä sisäisten yritysverkkojen todennuksen ja hallinnan käsittelemiseen, voi nyt auttaa tunnistamisessa ja todennuksessa Microsoft Azuressa.
Windowsin järjestelmänvalvojilla, tietoturva-alan ammattilaisilla ja hyökkääjillä on eri näkökulmat Active Directoryyn, kertoi Black Hatin osallistujille Sean Metcalf, Microsoftin Certified Master for Active Directory ja turvallisuusyhtiö Trimarc. Järjestelmänvalvojan kannalta keskitytään käyttöaikaan ja varmistetaan, että AD vastaa kyselyihin kohtuullisessa ajassa. Turvallisuusammattilaiset seuraavat Verkkotunnuksen järjestelmänvalvoja -ryhmän jäsenyyttä ja seuraavat ohjelmistopäivityksiä. Hyökkääjä etsii yrityksen turvallisuusasentoa löytääkseen heikkouden. Kenelläkään ryhmästä ei ole täydellistä kuvaa, Metcalf sanoi.
Kaikilla todennetuilla käyttäjillä on lukuoikeus useimpiin, ellei kaikkiin, Active Directoryn objekteihin ja määritteisiin, Metcalf sanoi keskustelun aikana. Tavallinen käyttäjätili voi vaarantaa koko Active Directory -toimialueen väärin myönnettyjen muutosoikeuksien vuoksi toimialueeseen liittyviin ryhmäkäytäntöobjekteihin ja organisaatioyksikköön. Mukautettujen OU-käyttöoikeuksien kautta henkilö voi muokata käyttäjiä ja ryhmiä ilman korotettuja oikeuksia tai he voivat käydä läpi SID-historian, AD-käyttäjätilin objektiominaisuuden, saadakseen korotetut oikeudet, Metcalf sanoi.
Jos Active Directorya ei ole suojattu, AD-kompromissi tulee entistä todennäköisemmäksi.
Metcalf esitteli strategioita, jotka auttavat yrityksiä välttämään yleisiä virheitä, ja se suojaa järjestelmänvalvojan tunnistetietoja ja eristää kriittisiä resursseja. Pysy ajan tasalla ohjelmistopäivityksistä, etenkin etuoikeuksien laajentamiseen liittyvistä korjaustiedostoista, ja segmentoi verkko, jotta hyökkääjien on vaikeampaa siirtyä sivusuunnassa.
Turvallisuusammattilaisten tulisi tunnistaa, kenellä on järjestelmänvalvojan oikeudet AD: lle ja virtuaalisiin ympäristöihin, joissa isännöidään virtuaalisia toimialueen ohjaimia, sekä kuka voi kirjautua toimialueen ohjaimiin. Heidän tulisi skannata aktiiviset hakemistotunnukset, AdminSDHolder-objekti ja ryhmäkäytäntöobjektit sopimattomien mukautettujen käyttöoikeuksien varalta ja varmistaa, että toimialueen järjestelmänvalvojat (AD-järjestelmänvalvojat) eivät koskaan kirjaudu epäluotettaviin järjestelmiin, kuten työasemiin arkaluontoisilla tunnistetiedoillaan. Palvelutilin oikeuksia tulisi myös rajoittaa.
Hanki AD-tietoturva oikein, ja monia yleisiä hyökkäyksiä lievennetään tai niiden tehokkuus vähenee, Metcalf sanoi.
Virtualisointi sisältää hyökkäyksiä
Microsoft esitteli virtualisointipohjaisen suojauksen (VBS), joukon hypervisoriin pakattuja turvaominaisuuksia, Windows 10: ssä. VBS: n hyökkäyspinta poikkeaa muista virtualisointitoteutuksista, kertoi Bromiumin pääturvallisuusarkkitehti Rafal Wojtczuk.
"Rajoitetusta laajuudestaan huolimatta VBS on hyödyllinen - se estää tiettyjä suoria hyökkäyksiä ilman sitä", Wojtczuk sanoi.
Hyper-V hallitsee juuriosiota, ja se voi toteuttaa ylimääräisiä rajoituksia ja tarjota turvallisia palveluja. Kun VBS on käytössä, Hyper-V luo erikoistuneen virtuaalikoneen, jolla on korkea luottamustaso, suorittamaan suojauskomentoja. Toisin kuin muut virtuaalikoneet, tämä erikoistunut kone on suojattu juuriosiosta. Windows 10 voi pakottaa käyttötilan binäärit ja komentosarjat koodin eheydeksi, ja VBS käsittelee ydintilan koodin. VBS on suunniteltu estämään allekirjoittamattoman koodin suorittamista ytimen yhteydessä, vaikka ydin olisi vaarantunut. Pohjimmiltaan erityisessä virtuaalikoneen käyttöoikeudessa suoritettava luotettu koodi suorittaa juuriosion laajennettujen sivutaulukkojen (EPT) oikeudet sivuille, jotka tallentavat allekirjoitettua koodia. Koska sivu ei voi olla sekä kirjoitettava että suoritettava samanaikaisesti, haittaohjelma ei voi siirtyä ydintilaan tällä tavalla.
Koska koko konsepti riippuu kyvystä jatkaa toimintaa, vaikka juuriosio olisi vaarantunut, Wojtczuk tutki VPS: ää hyökkääjän näkökulmasta, joka on jo murtautunut juuriosioon - esimerkiksi jos hyökkääjä ohittaa suojatun käynnistyksen latautumaan troijalainen hypervisori.
"VBS: n suojausasento näyttää hyvältä, ja se parantaa järjestelmän turvallisuutta - se vaatii varmasti ylimääräisiä, ei-todellisia ponnisteluja sopivan haavoittuvuuden löytämiseksi ohituksen sallimiseksi", Wojtczuk kirjoitti mukana olevassa valkoisessa kirjassa.
Olemassa olevat asiakirjat viittaavat suojattuun käynnistykseen, ja VTd ja Trusted Platform Module (TPM) ovat valinnaisia VBS: n käyttöönottoa varten, mutta näin ei ole. Järjestelmänvalvojilla on oltava sekä VTd että TPM hypervisorin suojaamiseksi vaarantuneelta juuriosiosta. Pelkkä Credential Guard -ominaisuuden käyttöönotto ei riitä VBS: lle. Lisäkokoonpano sen varmistamiseksi, että tunnistetiedot eivät näy juuriosion tyhjässä osassa, on tarpeen.
Microsoft on pyrkinyt tekemään VBS: stä mahdollisimman turvallisen, mutta epätavallinen hyökkäyspinta on edelleen huolestuttava, Wojtczuk sanoi.
Turvapalkki on korkeampi
Katkaisijat, mukaan lukien rikolliset, tutkijat ja hakkerit, jotka ovat kiinnostuneita näkemään, mitä he voivat tehdä, harjoittavat monimutkaista tanssia Microsoftin kanssa. Heti kun katkaisijat keksivät keinon ohittaa Windows-suojaukset, Microsoft sulkee suojausreiän. Toteuttamalla innovatiivista tietoturvatekniikkaa hyökkäysten vaikeuttamiseksi Microsoft pakottaa rikkomukset kaivamaan syvemmälle kiertääkseen ne. Näiden uusien ominaisuuksien ansiosta Windows 10 on kaikkien aikojen turvallisin Windows.
Rikoselementti on kiireinen työssä, eikä haittaohjelmien vitsaus näytä hidastumisen merkkejä pian, mutta on syytä huomata, että useimmat hyökkäykset johtuvat nykyään käyttämättömistä ohjelmistoista, sosiaalisesta suunnittelusta tai vääristä määrityksistä. Mikään ohjelmistosovellus ei voi olla täysin virheetön, mutta kun sisäänrakennetut puolustukset vaikeuttavat olemassa olevien heikkouksien hyödyntämistä, se on puolustajien voitto. Microsoft on tehnyt viime vuosina paljon estääkseen käyttöjärjestelmään kohdistuvia hyökkäyksiä, ja Windows 10 on näiden muutosten suora edunsaaja.
Kun otetaan huomioon, että Microsoft vahvisti eristystekniikoitaan Windows 10 Anniversary Update -sovelluksessa, tie menestyvälle hyödyntämiselle nykyaikaisessa Windows-järjestelmässä näyttää vielä kovemmalta.
