Dokud Windows zůstane oblíbeným terčem útoků, budou vědci a hackeři neustále bušit do platformy, aby odhalili pokročilé strategie k rozvrácení obrany společnosti Microsoft.
Lišta zabezpečení je mnohem vyšší, než bývala, protože Microsoft přidal v systému Windows 10 několik pokročilých zmírnění, která odstraňují celé třídy útoků. Zatímco hackeři na letošní konferenci Black Hat byli vyzbrojeni sofistikovanými technikami vykořisťování, došlo k tichému uznání, že vývoj úspěšné techniky je nyní ve Windows 10. mnohem těžší. Proniknutí do Windows prostřednictvím zranitelnosti OS je těžší, než tomu bylo před několika lety.
Používejte integrované antimalwarové nástroje
Společnost Microsoft vyvinula nástroje pro rozhraní antimalwarového skenování (AMSI), které dokážou zachytit škodlivé skripty v paměti. Může to nazvat jakákoli aplikace a jakýkoli registrovaný antimalwarový modul může zpracovávat obsah odeslaný AMSI, řekl účastníkům svého zasedání Black Hat Nikhal Mittal, tester penetrace a spolupracovník konzultant NoSoSecure. Programy Windows Defender a AVG aktuálně používají AMSI a mělo by být rozšířeno.
"AMSI je velkým krokem k blokování útoků založených na skriptech v systému Windows," řekl Mittal.
Kyberzločinci se v rámci svých kampaní stále častěji spoléhají na útoky založené na skriptech, zejména ty, které se spouštějí v prostředí PowerShell. Pro organizace je těžké odhalit útoky pomocí prostředí PowerShell, protože je těžké je odlišit od legitimního chování. Je také obtížné jej obnovit, protože skripty PowerShellu lze použít k dotyku jakéhokoli aspektu systému nebo sítě. S prakticky každým systémem Windows, který je nyní předinstalován v prostředí PowerShell, jsou útoky založené na skriptu mnohem častější.
Zločinci začali používat PowerShell a načítat skripty do paměti, ale obráncům chvíli trvalo, než se uchytili. "Nikdo se o PowerShell nestaral před několika lety," řekl Mittal. "Naše skripty se vůbec nedetekují." Prodejci antivirových programů jej přijali až za poslední tři roky. “
I když je snadné detekovat skripty uložené na disku, není tak snadné zastavit provádění skriptů uložených v paměti. AMSI se snaží zachytit skripty na úrovni hostitele, což znamená, že nezáleží na metodě vstupu - ať už je to uloženo na disk, uloženo v paměti nebo spuštěno interaktivně - což z něj dělá „měnič hry“, jak řekl Mittal.
AMSI však nemůže stát osamoceně, protože užitečnost závisí na jiných metodách zabezpečení. Je velmi obtížné provádět útoky založené na skriptu bez generování protokolů, takže je důležité, aby správci systému Windows pravidelně sledovali své protokoly PowerShell.
AMSI není dokonalý - je méně užitečné detekovat zmatené skripty nebo skripty načtené z neobvyklých míst, jako je jmenný prostor WMI, klíče registru a protokoly událostí. Skripty PowerShell prováděné bez použití Powershellu.exe (nástroje, jako je server zásad sítě), mohou také spustit AMSI. Existují způsoby, jak obejít AMSI, například změna podpisu skriptů, použití PowerShellu verze 2 nebo deaktivace AMSI. Bez ohledu na to Mittal stále považuje AMSI za „budoucnost správy Windows“.
Chraňte tuto službu Active Directory
Active Directory je základním kamenem správy systému Windows a stává se ještě důležitější součástí, protože organizace nadále přesouvají své pracovní zátěže do cloudu. Již se nepoužívá ke zpracování ověřování a správy pro místní interní podnikové sítě, AD nyní může pomoci s identitou a ověřováním v Microsoft Azure.
Správci Windows, bezpečnostní profesionálové a útočníci mají různé pohledy na Active Directory, řekl účastníkům Black Hat Sean Metcalf, Microsoft Certified Master pro Active Directory a zakladatel bezpečnostní společnosti Trimarc. Pro správce je důraz kladen na provozuschopnost a zajištění toho, aby služba AD reagovala na dotazy v rozumném okně. Bezpečnostní profesionálové sledují členství ve skupině Domain Admin a udržují krok s aktualizacemi softwaru. Útočník se podívá na bezpečnostní pozici podniku, aby zjistil slabost. Žádná ze skupin nemá úplný obraz, řekl Metcalf.
Všichni ověření uživatelé mají přístup ke čtení většiny, ne-li všech, objektů a atributů ve službě Active Directory, uvedl během rozhovoru Metcalf. Standardní uživatelský účet může ohrozit celou doménu služby Active Directory z důvodu nesprávně udělených oprávnění k úpravám pro objekty zásad skupiny a organizační jednotku propojené s doménou. Prostřednictvím vlastních oprávnění OU může osoba upravovat uživatele a skupiny bez zvýšených práv nebo může procházet SID History, atributem objektu uživatelského účtu AD, aby získala zvýšená práva, řekl Metcalf.
Pokud služba Active Directory není zabezpečena, bude kompromis služby AD ještě pravděpodobnější.
Metcalf nastínil strategie, které mají podnikům pomoci vyhnout se běžným chybám, a omezuje se na ochranu pověření správce a izolaci kritických zdrojů. Mějte přehled o aktualizacích softwaru, zejména o opravách zabývajících se zranitelnostmi při eskalaci privilegií, a segmentujte síť, abyste útočníkům ztěžovali boční procházení.
Bezpečnostní profesionálové by měli určit, kdo má práva správce pro AD a virtuální prostředí hostující virtuální řadiče domény, a také to, kdo se může k řadičům domény přihlásit. Měli by skenovat domény aktivních adresářů, objekt AdminSDHolder a objekty zásad skupiny (GPO), zda neobsahují nevhodná vlastní oprávnění, a zajistit, aby se administrátoři domény (správci AD) nikdy nepřihlásili do nedůvěryhodných systémů, jako jsou pracovní stanice, s jejich citlivými pověřeními. Rovněž by měla být omezena práva na servisní účet.
Získejte správné zabezpečení AD a mnoho běžných útoků je zmírněno nebo je méně efektivní, řekl Metcalf.
Virtualizace, která obsahuje útoky
Společnost Microsoft představila ve Windows 10 zabezpečení založené na virtualizaci (VBS), sadu bezpečnostních funkcí zapracovaných do hypervisoru. Útočná plocha pro VBS se liší od ostatních implementací virtualizace, uvedl Rafal Wojtczuk, hlavní bezpečnostní architekt společnosti Bromium.
"Přes svůj omezený rozsah je VBS užitečný - zabraňuje určitým útokům, které jsou bez něj přímé," řekl Wojtczuk.
Hyper-V má kontrolu nad kořenovým oddílem a může implementovat další omezení a poskytovat zabezpečené služby. Když je povolen VBS, Hyper-V vytvoří specializovaný virtuální stroj s vysokou úrovní důvěryhodnosti k provádění příkazů zabezpečení. Na rozdíl od jiných virtuálních počítačů je tento specializovaný počítač chráněn před kořenovým oddílem. Windows 10 může vynutit integritu kódu binárních souborů a skriptů v uživatelském režimu a VBS zpracovává kód v režimu jádra. VBS je navržen tak, aby neumožňoval provádění žádného nepodepsaného kódu v kontextu jádra, i když bylo jádro kompromitováno. Důvěryhodný kód spuštěný ve speciálním virtuálním počítači v zásadě uděluje práva na spuštění v rozšířených tabulkách stránek (EPT) kořenového oddílu pro stránky ukládající podepsaný kód. Vzhledem k tomu, že stránku nelze zapisovat a zároveň spustit, malware nemůže tímto způsobem vstoupit do režimu jádra.
Jelikož celý koncept závisí na schopnosti pokračovat, i když byl kořenový oddíl kompromitován, Wojtczuk zkoumal VPS z pohledu útočníka, který se již do kořenového oddílu vloupal - například pokud útočník obejde Secure Boot a načte jej Trojanizovaný hypervisor.
"Bezpečnostní pozice VBS vypadá dobře a zlepšuje zabezpečení systému - určitě vyžaduje další vysoce netriviální úsilí k nalezení vhodné zranitelnosti umožňující obejít," napsal Wojtczuk v doprovodné bílé knize.
Existující dokumentace naznačuje, že je vyžadováno bezpečné spuštění, a VTd a Trusted Platform Module (TPM) jsou volitelné pro povolení VBS, ale není tomu tak. Správci potřebují mít VTd i TPM, aby ochránili hypervisor před napadeným kořenovým oddílem. Pouhé povolení funkce Credential Guard pro VBS nestačí. Je nutná další konfigurace, která zajistí, že se přihlašovací údaje nezobrazí jasně v kořenovém oddílu.
Microsoft vyvinul velké úsilí, aby byl VBS co nejbezpečnější, ale neobvyklý povrch útoku je stále důvodem k obavám, uvedl Wojtczuk.
Bezpečnostní lišta je vyšší
Breakers, mezi něž patří zločinci, vědci a hackeři, kteří mají zájem vidět, co mohou dělat, se zabývají propracovaným tancem s Microsoftem. Jakmile jističi přijdou na způsob, jak obejít obranu systému Windows, společnost Microsoft uzavře bezpečnostní díru. Implementací inovativní technologie zabezpečení, která útoky ztěžuje, společnost Microsoft nutí útočníky, aby se hlouběji vyhnuli a obejít je. Windows 10 je díky těmto novým funkcím nejbezpečnější Windows vůbec.
Kriminální živel je v práci zaneprázdněn a malwarová pohroma nejeví známky brzkého zpomalení, ale stojí za zmínku, že většina útoků je v dnešní době výsledkem neopraveného softwaru, sociálního inženýrství nebo nesprávné konfigurace. Žádné softwarové aplikace nemohou být dokonale bezchybné, ale když zabudovaná obrana znesnadní využití stávajících slabých stránek, je to vítězství obránců. Microsoft v posledních několika letech udělal hodně pro blokování útoků na operační systém a Windows 10 je přímým příjemcem těchto změn.
Vzhledem k tomu, že Microsoft vylepšil své izolační technologie v aktualizaci Windows 10 Anniversary Update, vypadá cesta k úspěšnému zneužití pro moderní systém Windows ještě tvrdší.
