Εφόσον τα Windows παραμένουν ένας δημοφιλής στόχος επίθεσης, οι ερευνητές και οι χάκερ θα συνεχίσουν να χτυπούν την πλατφόρμα για να αποκαλύψουν προηγμένες στρατηγικές για την ανατροπή της άμυνας της Microsoft.
Η μπάρα για την ασφάλεια είναι πολύ υψηλότερη από ό, τι στο παρελθόν, καθώς η Microsoft έχει προσθέσει πολλαπλούς προηγμένους μετριασμούς στα Windows 10 που εκτελούν ολόκληρες κατηγορίες επιθέσεων. Ενώ οι χάκερ στο φετινό συνέδριο Black Hat εφοδιάστηκαν με εξελιγμένες τεχνικές εκμετάλλευσης, υπήρχε σιωπηρή αναγνώριση ότι η ανάπτυξη μιας επιτυχημένης τεχνικής είναι τώρα πολύ πιο δύσκολη με τα Windows 10. Η είσοδος σε Windows μέσω μιας ευπάθειας λειτουργικού συστήματος είναι πιο δύσκολη από ό, τι πριν από λίγα χρόνια.
Χρησιμοποιήστε ενσωματωμένα εργαλεία antimalware
Η Microsoft έχει αναπτύξει εργαλεία antimalware scan interface (AMSI) που μπορούν να εντοπίσουν κακόβουλα σενάρια στη μνήμη. Οποιαδήποτε εφαρμογή μπορεί να το καλέσει και οποιοσδήποτε εγγεγραμμένος μηχανισμός antimalware μπορεί να επεξεργαστεί το περιεχόμενο που υποβάλλεται στην AMSI, δήλωσε ο Nikhal Mittal, δοκιμαστής διείσδυσης και συνεργάτης σύμβουλος με την NoSoSecure, στους παρευρισκόμενους στη συνεδρία του Black Hat. Το Windows Defender και το AVG χρησιμοποιούν αυτήν τη στιγμή το AMSI και θα πρέπει να υιοθετηθεί ευρύτερα.
"Το AMSI είναι ένα μεγάλο βήμα προς τον αποκλεισμό επιθέσεων που βασίζονται σε σενάριο στα Windows", δήλωσε ο Mittal.
Οι εγκληματίες του κυβερνοχώρου βασίζονται όλο και περισσότερο σε επιθέσεις που βασίζονται σε σενάριο, ειδικά σε αυτές που εκτελούνται στο PowerShell, ως μέρος των καμπανιών τους. Είναι δύσκολο για τους οργανισμούς να ανακαλύψουν επιθέσεις χρησιμοποιώντας το PowerShell επειδή είναι δύσκολο να διαφοροποιηθούν από τη νόμιμη συμπεριφορά. Είναι επίσης δύσκολο να ανακτηθεί, επειδή τα σενάρια PowerShell μπορούν να χρησιμοποιηθούν για να αγγίξουν οποιαδήποτε πτυχή του συστήματος ή του δικτύου. Με σχεδόν κάθε σύστημα Windows που έχει ήδη φορτωθεί με το PowerShell, οι επιθέσεις με σενάριο γίνονται πολύ πιο κοινές.
Οι εγκληματίες άρχισαν να χρησιμοποιούν το PowerShell και να φορτώνουν σενάρια στη μνήμη, αλλά χρειάστηκαν λίγο οι υπερασπιστές για να το πιάσουν. «Κανείς δεν νοιάζεται για το PowerShell μέχρι μερικά χρόνια πίσω», είπε ο Mittal. «Τα σενάρια μας δεν εντοπίζονται καθόλου. Οι προμηθευτές προστασίας από ιούς το έχουν αγκαλιάσει τα τελευταία τρία χρόνια ».
Αν και είναι εύκολο να εντοπίσετε σενάρια που είναι αποθηκευμένα σε δίσκο, δεν είναι τόσο εύκολο να σταματήσετε την εκτέλεση σεναρίων που είναι αποθηκευμένα στη μνήμη. Το AMSI προσπαθεί να πιάσει δέσμες ενεργειών σε επίπεδο κεντρικού υπολογιστή, πράγμα που σημαίνει ότι η μέθοδος εισαγωγής - είτε αποθηκεύεται σε δίσκο, αποθηκεύεται στη μνήμη ή εκκινείται διαδραστικά - δεν έχει σημασία, καθιστώντας το "παιχνίδι αλλαγής", όπως είπε ο Mittal.
Ωστόσο, το AMSI δεν μπορεί να είναι αυτόνομο, καθώς η χρησιμότητα βασίζεται σε άλλες μεθόδους ασφαλείας. Είναι πολύ δύσκολο να εκτελούνται επιθέσεις με σενάριο χωρίς να δημιουργούνται αρχεία καταγραφής, επομένως είναι σημαντικό για τους διαχειριστές των Windows να παρακολουθούν τακτικά τα αρχεία καταγραφής PowerShell.
Το AMSI δεν είναι τέλειο - είναι λιγότερο χρήσιμο να εντοπίζετε παραπλανημένα σενάρια ή σενάρια που φορτώνονται από ασυνήθιστα μέρη, όπως ο χώρος ονομάτων WMI, κλειδιά μητρώου και αρχεία καταγραφής συμβάντων. Τα σενάρια PowerShell που εκτελούνται χωρίς τη χρήση του Powerhell.exe (εργαλεία όπως ο διακομιστής πολιτικής δικτύου) μπορούν επίσης να ενεργοποιήσουν το AMSI. Υπάρχουν τρόποι παράκαμψης του AMSI, όπως η αλλαγή της υπογραφής των σεναρίων, η χρήση του PowerShell έκδοση 2 ή η απενεργοποίηση του AMSI. Ανεξάρτητα, η Mittal εξακολουθεί να θεωρεί το AMSI «το μέλλον της διαχείρισης των Windows».
Προστατέψτε αυτόν τον Active Directory
Η υπηρεσία καταλόγου Active Directory είναι ο ακρογωνιαίος λίθος της διαχείρισης των Windows και γίνεται ακόμη πιο κρίσιμο στοιχείο καθώς οι οργανισμοί συνεχίζουν να μεταφέρουν το φόρτο εργασίας τους στο cloud. Δεν χρησιμοποιείται πλέον για τον έλεγχο ταυτότητας και διαχείρισης εσωτερικών εταιρικών δικτύων εσωτερικής εγκατάστασης, η AD μπορεί τώρα να βοηθήσει στην ταυτότητα και τον έλεγχο ταυτότητας στο Microsoft Azure.
Οι διαχειριστές των Windows, οι επαγγελματίες ασφαλείας και οι επιτιθέμενοι έχουν όλες διαφορετικές προοπτικές της υπηρεσίας καταλόγου Active Directory, δήλωσε στους συμμετέχοντες στο Black Hat ο Sean Metcalf, ένας πιστοποιημένος κύριος της Microsoft για την υπηρεσία καταλόγου Active Directory και ιδρυτής της εταιρείας ασφαλείας Trimarc. Για τον διαχειριστή, η εστίαση είναι στο χρόνο λειτουργίας και η διασφάλιση της απάντησης AD σε ερωτήματα εντός ενός λογικού παραθύρου. Οι επαγγελματίες ασφαλείας παρακολουθούν τη συμμετοχή στην ομάδα Διαχειριστή τομέα και παρακολουθούν τις ενημερώσεις λογισμικού. Ο εισβολέας εξετάζει τη στάση ασφαλείας για την επιχείρηση να βρει την αδυναμία. Καμία από τις ομάδες δεν έχει την πλήρη εικόνα, δήλωσε ο Metcalf.
Όλοι οι πιστοποιημένοι χρήστες έχουν πρόσβαση ανάγνωσης στα περισσότερα, αν όχι όλα, αντικείμενα και χαρακτηριστικά στην υπηρεσία καταλόγου Active Directory, δήλωσε ο Metcalf κατά τη διάρκεια της ομιλίας. Ένας τυπικός λογαριασμός χρήστη μπορεί να θέσει σε κίνδυνο έναν ολόκληρο τομέα της υπηρεσίας καταλόγου Active Directory εξαιτίας ακατάλληλων δικαιωμάτων τροποποίησης σε αντικείμενα πολιτικής ομάδας και οργανωτικής ενότητας που συνδέονται με τομέα. Μέσω προσαρμοσμένων αδειών OU, ένα άτομο μπορεί να τροποποιήσει χρήστες και ομάδες χωρίς αυξημένα δικαιώματα ή μπορεί να περάσει από το ιστορικό SID, ένα χαρακτηριστικό αντικειμένου λογαριασμού χρήστη AD, για να αποκτήσει αυξημένα δικαιώματα, δήλωσε ο Metcalf.
Εάν η υπηρεσία καταλόγου Active Directory δεν είναι ασφαλής, τότε ο συμβιβασμός διαφημίσεων γίνεται ακόμη πιο πιθανός.
Η Metcalf περιέγραψε στρατηγικές για να βοηθήσει τις επιχειρήσεις να αποφύγουν τα κοινά λάθη και οφείλει στην προστασία των διαπιστευτηρίων του διαχειριστή και στην απομόνωση κρίσιμων πόρων. Παραμείνετε ενημερωμένοι για ενημερώσεις λογισμικού, ειδικά ενημερώσεις κώδικα που αντιμετωπίζουν ευπάθειες κλιμάκωσης προνομίων και τμηματοποιήστε το δίκτυο για να δυσκολέψετε τους επιτιθέμενους να μετακινηθούν πλευρικά.
Οι επαγγελματίες ασφαλείας πρέπει να προσδιορίσουν ποιος έχει δικαιώματα διαχειριστή για AD και σε εικονικά περιβάλλοντα που φιλοξενούν ελεγκτές εικονικού τομέα, καθώς και ποιος μπορεί να συνδεθεί σε ελεγκτές τομέα. Θα πρέπει να σαρώσουν τους ενεργούς τομείς καταλόγου, το αντικείμενο AdminSDHolder και τα αντικείμενα πολιτικής ομάδας (GPO) για ακατάλληλα προσαρμοσμένα δικαιώματα, καθώς και να διασφαλίσουν ότι οι διαχειριστές τομέα (διαχειριστές AD) δεν θα συνδεθούν ποτέ σε μη αξιόπιστα συστήματα όπως σταθμούς εργασίας με τα ευαίσθητα διαπιστευτήριά τους. Τα δικαιώματα λογαριασμού υπηρεσίας πρέπει επίσης να είναι περιορισμένα.
Αποκτήστε την ασφάλεια AD, και πολλές κοινές επιθέσεις μετριάζονται ή γίνονται λιγότερο αποτελεσματικές, δήλωσε ο Metcalf
Εικονικοποίηση για τον περιορισμό επιθέσεων
Η Microsoft εισήγαγε την ασφάλεια βασισμένη σε εικονικοποίηση (VBS), ένα σύνολο χαρακτηριστικών ασφαλείας που ενσωματώθηκε στον επόπτη, στα Windows 10. Η επιφάνεια επίθεσης για το VBS είναι διαφορετική από αυτή των άλλων υλοποιήσεων εικονικοποίησης, δήλωσε ο Rafal Wojtczuk, επικεφαλής αρχιτέκτονας ασφαλείας στο Bromium.
«Παρά το περιορισμένο πεδίο εφαρμογής του, το VBS είναι χρήσιμο - αποτρέπει ορισμένες επιθέσεις που είναι απλές χωρίς αυτό», δήλωσε ο Wojtczuk.
Το Hyper-V έχει τον έλεγχο του ριζικού διαμερίσματος και μπορεί να εφαρμόσει επιπλέον περιορισμούς και να παρέχει ασφαλείς υπηρεσίες. Όταν είναι ενεργοποιημένο το VBS, το Hyper-V δημιουργεί μια εξειδικευμένη εικονική μηχανή με υψηλό επίπεδο εμπιστοσύνης για την εκτέλεση εντολών ασφαλείας. Σε αντίθεση με άλλα VM, αυτό το εξειδικευμένο μηχάνημα προστατεύεται από το ριζικό διαμέρισμα. Τα Windows 10 μπορούν να επιβάλουν την ακεραιότητα κώδικα των δυαδικών και σεναρίων της λειτουργίας χρήστη και το VBS χειρίζεται τον κώδικα λειτουργίας πυρήνα. Το VBS έχει σχεδιαστεί για να μην επιτρέπει την εκτέλεση κώδικα χωρίς υπογραφή στο πλαίσιο του πυρήνα, ακόμη και αν ο πυρήνας έχει παραβιαστεί. Ουσιαστικά, αξιόπιστος κώδικας που εκτελείται στην ειδική επιχορήγηση VM εκτελεί δικαιώματα στους εκτεταμένους πίνακες σελίδων του ριζικού διαμερίσματος (EPT) σε σελίδες που αποθηκεύουν υπογεγραμμένο κώδικα. Δεδομένου ότι η σελίδα δεν μπορεί να είναι εγγράψιμη και ταυτόχρονα εκτελέσιμη, το κακόβουλο λογισμικό δεν μπορεί να εισέλθει σε λειτουργία πυρήνα με αυτόν τον τρόπο.
Δεδομένου ότι ολόκληρη η ιδέα εξαρτάται από την ικανότητα να συνεχίσει ακόμη και αν το ριζικό διαμέρισμα έχει παραβιαστεί, ο Wojtczuk εξέτασε το VPS από την οπτική γωνία ενός εισβολέα που έχει ήδη σπάσει στο ριζικό διαμέρισμα - για παράδειγμα, εάν ένας εισβολέας παρακάμψει το Secure Boot για φόρτωση ένας Τρωαζικοποιημένος υπεύθυνος.
«Η στάση ασφαλείας του VBS φαίνεται καλή και βελτιώνει την ασφάλεια ενός συστήματος - σίγουρα απαιτεί επιπλέον εξαιρετικά ασήμαντη προσπάθεια για την εύρεση κατάλληλης ευπάθειας που επιτρέπει την παράκαμψη», έγραψε ο Wojtczuk στη συνοδευτική Λευκή Βίβλο.
Η υπάρχουσα τεκμηρίωση υποδηλώνει ότι απαιτείται ασφαλής εκκίνηση και το VTd και το Trusted Platform Module (TPM) είναι προαιρετικά για την ενεργοποίηση του VBS, αλλά αυτό δεν ισχύει. Οι διαχειριστές πρέπει να έχουν και VTd και TPM για να προστατεύσουν τον επόπτη από ένα παραβιασμένο ριζικό διαμέρισμα. Η απλή ενεργοποίηση του Credential Guard δεν αρκεί για το VBS. Απαιτείται πρόσθετη διαμόρφωση για να διασφαλιστεί ότι τα διαπιστευτήρια δεν εμφανίζονται στη διαγραφή στο ριζικό διαμέρισμα είναι απαραίτητη.
Η Microsoft έχει καταβάλει πολλές προσπάθειες για να κάνει το VBS όσο το δυνατόν πιο ασφαλές, αλλά η ασυνήθιστη επιφάνεια επίθεσης εξακολουθεί να προκαλεί ανησυχία, δήλωσε ο Wojtczuk.
Η γραμμή ασφαλείας είναι υψηλότερη
Οι breakers, που περιλαμβάνουν εγκληματίες, ερευνητές και hackers που ενδιαφέρονται να δουν τι μπορούν να κάνουν, ασχολούνται με έναν περίπλοκο χορό με τη Microsoft. Μόλις οι διακόπτες βρουν έναν τρόπο να παρακάμψουν τις άμυνες των Windows, η Microsoft κλείνει την τρύπα ασφαλείας. Με την εφαρμογή καινοτόμου τεχνολογίας ασφαλείας για να κάνει τις επιθέσεις πιο δύσκολες, η Microsoft αναγκάζει τους διακόπτες να σκάψουν βαθύτερα για να τις ξεπεράσουν. Τα Windows 10 είναι τα πιο ασφαλή Windows, χάρη σε αυτές τις νέες δυνατότητες.
Το εγκληματικό στοιχείο είναι απασχολημένο στη δουλειά και η μάστιγα του κακόβουλου λογισμικού δεν δείχνει σημάδια επιβράδυνσης σύντομα, αλλά αξίζει να σημειωθεί ότι οι περισσότερες επιθέσεις σήμερα είναι αποτέλεσμα μη αντιστοιχισμένου λογισμικού, κοινωνικής μηχανικής ή εσφαλμένων διαμορφώσεων. Καμία εφαρμογή λογισμικού δεν μπορεί να είναι απόλυτα απαλλαγμένη από σφάλματα, αλλά όταν οι ενσωματωμένες άμυνες δυσκολεύουν να εκμεταλλευτούν τις υπάρχουσες αδυναμίες, αυτό είναι μια νίκη για τους υπερασπιστές. Η Microsoft έχει κάνει πολλά τα τελευταία χρόνια για να αποκλείσει τις επιθέσεις στο λειτουργικό σύστημα και τα Windows 10 είναι ο άμεσος δικαιούχος αυτών των αλλαγών.
Λαμβάνοντας υπόψη ότι η Microsoft ενίσχυσε τις τεχνολογίες απομόνωσής της στο Windows 10 Anniversary Update, ο δρόμος για επιτυχημένη εκμετάλλευση για ένα σύγχρονο σύστημα Windows φαίνεται ακόμη πιο δύσκολος.
