Så lenge Windows er et populært angrepsmål, vil forskere og hackere fortsette å slå plattformen for å avdekke avanserte strategier for å undergrave Microsofts forsvar.
Sikkerhetslinjen er mye høyere enn den pleide å være, siden Microsoft har lagt til flere avanserte avbøtninger i Windows 10 som tar ut hele angrepsklassen. Mens hackere på årets Black Hat-konferanse ble bevæpnet med sofistikerte utnyttelsesteknikker, var det stilltiende anerkjennelse av at det å utvikle en vellykket teknikk nå er mye vanskeligere med Windows 10. Å bryte inn i Windows gjennom et OS-sårbarhet er vanskeligere enn det var for noen få år siden.
Bruk innebygde verktøy for antimalware
Microsoft har utviklet antimalware scan interface (AMSI) verktøy som kan fange ondsinnede skript i minnet. Enhver applikasjon kan kalle det, og enhver registrert antimalwaremotor kan behandle innholdet som sendes til AMSI, sa Nikhal Mittal, penetrasjonstester og tilknyttet konsulent med NoSoSecure, til deltakere på sin Black Hat-økt. Windows Defender og AVG bruker for øyeblikket AMSI, og det bør bli mer adoptert.
"AMSI er et stort skritt mot å blokkere skriptbaserte angrep i Windows," sa Mittal.
Nettkriminelle stoler i økende grad på manusbaserte angrep, spesielt de som utføres på PowerShell, som en del av kampanjene sine. Det er vanskelig for organisasjoner å oppdage angrep ved bruk av PowerShell fordi de er vanskelige å skille fra legitim oppførsel. Det er også vanskelig å gjenopprette fordi PowerShell-skript kan brukes til å berøre ethvert aspekt av systemet eller nettverket. Med praktisk talt alle Windows-systemer som nå er forhåndslastet med PowerShell, blir skriptbaserte angrep mye mer vanlig.
Kriminelle begynte å bruke PowerShell og laste inn skript i minnet, men det tok forsvarerne en stund å ta tak. "Ingen brydde seg om PowerShell før for noen år tilbake," sa Mittal. “Skriptene våre blir ikke oppdaget i det hele tatt. Antivirusleverandører har bare omfavnet de siste tre årene. ”
Selv om det er lett å oppdage skript som er lagret på disken, er det ikke så lett å stoppe skript som er lagret i minnet, kjøres. AMSI prøver å fange skript på vertsnivå, noe som betyr at inndatametoden - enten den er lagret på disken, lagret i minnet eller lansert interaktivt - ikke betyr noe, noe som gjør det til en "game changer", som Mittal sa.
Imidlertid kan AMSI ikke stå alene, da nytten er avhengig av andre sikkerhetsmetoder. Det er veldig vanskelig for skriptbaserte angrep å utføre uten å generere logger, så det er viktig for Windows-administratorer å jevnlig overvåke PowerShell-loggene.
AMSI er ikke perfekt - det er mindre nyttig å oppdage tilstoppede skript eller skript lastet fra uvanlige steder som WMI-navneområde, registernøkler og hendelseslogger. PowerShell-skript som er utført uten bruk av powershell.exe (verktøy som nettverkspolicy-server) kan også utløse AMSI. Det er måter å omgå AMSI, for eksempel å endre signaturen til skript, bruke PowerShell versjon 2 eller deaktivere AMSI. Uansett anser Mittal fortsatt AMSI som "fremtiden for Windows-administrasjon."
Beskytt Active Directory
Active Directory er hjørnesteinen i Windows-administrasjon, og det blir en enda mer kritisk komponent ettersom organisasjoner fortsetter å flytte arbeidsmengden til skyen. Ikke lenger brukt til å håndtere autentisering og administrasjon for lokale interne bedriftsnettverk, kan AD nå hjelpe med identitet og autentisering i Microsoft Azure.
Windows-administratorer, sikkerhetsfagfolk og angripere har alle forskjellige perspektiver fra Active Directory, sa Sean Metcalf, en Microsoft-sertifisert master for Active Directory og grunnlegger av sikkerhetsselskapet Trimarc, til Black Hat-deltakerne. For administratoren er fokuset på oppetid og å sikre at AD svarer på spørsmål innen et rimelig vindu. Sikkerhetsfagfolk overvåker medlemskap i Domain Admin-gruppen og følger med på programvareoppdateringer. Angriperen ser på sikkerhetsstillingen for virksomheten for å finne svakheten. Ingen av gruppene har det fullstendige bildet, sa Metcalf.
Alle autentiserte brukere har lesetilgang til de fleste, om ikke alle, objekter og attributter i Active Directory, sa Metcalf under samtalen. En standard brukerkonto kan kompromittere et helt Active Directory-domene på grunn av feil gitte modifikasjonsrettigheter til domenekoblede gruppepolicyobjekter og organisasjonsenhet. Via tilpassede OU-tillatelser kan en person endre brukere og grupper uten forhøyede rettigheter, eller de kan gå gjennom SID History, et AD-brukerkontoobjektattributt, for å få forhøyede rettigheter, sa Metcalf.
Hvis Active Directory ikke er sikret, blir AD-kompromiss enda mer sannsynlig.
Metcalf skisserte strategier for å hjelpe bedrifter med å unngå vanlige feil, og det innebærer å beskytte administratorlegitimasjon og isolere kritiske ressurser. Hold deg oppdatert på programvareoppdateringer, spesielt oppdateringer som adresserer sårbarheter med privilegium-eskalering, og segmenter nettverket for å gjøre det vanskeligere for angripere å bevege seg gjennom sidelengs.
Sikkerhetsfagfolk bør identifisere hvem som har administratorrettigheter for AD og virtuelle miljøer som er vert for virtuelle domenekontrollere, samt hvem som kan logge på domenekontrollere. De bør skanne aktive katalogdomener, AdminSDHolder-objekt og gruppepolicyobjekter (GPO) for upassende egendefinerte tillatelser, samt sikre at domeneadministratorer (AD-administratorer) aldri logger på ikke-klarerte systemer som arbeidsstasjoner med deres sensitive legitimasjon. Rettigheter for tjenestekontoer bør også være begrenset.
Få AD-sikkerhet riktig, og mange vanlige angrep dempes eller blir mindre effektive, sa Metcalf.
Virtualisering for å inneholde angrep
Microsoft introduserte virtualiseringsbasert sikkerhet (VBS), et sett med sikkerhetsfunksjoner som ble bakt inn i hypervisoren, i Windows 10. Angrepsoverflaten for VBS er forskjellig fra den for andre virtualiseringsimplementeringer, sa Rafal Wojtczuk, sjefs sikkerhetsarkitekt i Bromium.
"Til tross for sitt begrensede omfang er VBS nyttig - det forhindrer visse angrep som er greie uten det," sa Wojtczuk.
Hyper-V har kontroll over rotpartisjonen, og den kan implementere ekstra begrensninger og tilby sikre tjenester. Når VBS er aktivert, oppretter Hyper-V en spesialisert virtuell maskin med høyt tillitsnivå for å utføre sikkerhetskommandoer. I motsetning til andre virtuelle maskiner er denne spesialiserte maskinen beskyttet mot rotpartisjonen. Windows 10 kan håndheve kodeintegriteten til brukermodus-binærfiler og skript, og VBS håndterer kjernemodus-kode. VBS er designet for å ikke tillate at usignert kode kjøres i kjernekonteksten, selv om kjernen har blitt kompromittert. I hovedsak gir klarert kode som kjøres i den spesielle VM, rettigheter i rotpartisjonens utvidede sidetabeller (EPT) til sider som lagrer signert kode. Siden siden ikke kan være både skrivbar og kjørbar samtidig, kan ikke skadelig programvare gå inn i kjernemodus på den måten.
Siden hele konseptet henger på evnen til å fortsette, selv om rotpartisjonen er kompromittert, undersøkte Wojtczuk VPS fra perspektivet til en angriper som allerede har brutt seg inn i rotpartisjonen - for eksempel hvis en angriper omgår Secure Boot for å laste en trojanisert hypervisor.
"Sikkerhetsstillingen til VBS ser bra ut, og det forbedrer sikkerheten til et system - det krever absolutt ytterligere svært ikke-trivelige anstrengelser for å finne passende sårbarhet som tillater forbikjøring," skrev Wojtczuk i den medfølgende hvitboken.
Eksisterende dokumentasjon antyder at Secure Boot er nødvendig, og VTd og Trusted Platform Module (TPM) er valgfrie for å aktivere VBS, men det er ikke tilfelle. Administratorer må ha både VTd og TPM for å beskytte hypervisoren mot en kompromittert rotpartisjon. Bare å aktivere Credential Guard er ikke nok for VBS. Ytterligere konfigurasjon for å sikre at legitimasjon ikke vises i tydelig i rotpartisjonen er nødvendig.
Microsoft har lagt ned mye arbeid for å gjøre VBS så sikker som mulig, men den uvanlige angrepsoverflaten er fortsatt bekymringsfull, sa Wojtczuk.
Sikkerhetslinjen er høyere
Breakers, som inkluderer kriminelle, forskere og hackere som er interessert i å se hva de kan gjøre, er engasjert i en forseggjort dans med Microsoft. Så snart bryterne finner ut en måte å omgå Windows-forsvaret, lukker Microsoft sikkerhetshullet. Ved å implementere innovativ sikkerhetsteknologi for å gjøre angrep vanskeligere, tvinger Microsoft brytere til å grave dypere for å komme seg rundt dem. Windows 10 er den sikreste Windows noensinne, takket være de nye funksjonene.
Det kriminelle elementet er opptatt på jobb, og skadeprogrammet for skadelig programvare viser ikke tegn til å bremse snart, men det er verdt å merke seg at de fleste angrep i dag er et resultat av programvare, sosialteknikk eller feilkonfigurasjoner som ikke er oppdatert. Ingen programvareapplikasjoner kan være helt feilfrie, men når det innebygde forsvaret gjør det vanskeligere å utnytte eksisterende svakheter, er det en seier for forsvarerne. Microsoft har gjort mye de siste årene for å blokkere angrep på operativsystemet, og Windows 10 er den direkte mottakeren av disse endringene.
Med tanke på at Microsoft økte isolasjonsteknologiene i Windows 10-jubileumsoppdateringen, ser veien til vellykket utnyttelse av et moderne Windows-system enda tøffere ut.
