Så længe Windows forbliver et populært angrebsmål, vil forskere og hackere fortsætte med at slå platformen for at afdække avancerede strategier for at undergrave Microsofts forsvar.
Sikkerhedslinjen er meget højere, end den var, da Microsoft har tilføjet flere avancerede afbødninger i Windows 10, der fjerner hele klasser af angreb. Mens hackere på dette års Black Hat-konference blev bevæbnet med sofistikerede udnyttelsesteknikker, var der stiltiende anerkendelse af, at det er meget sværere at udvikle en vellykket teknik med Windows 10. At bryde ind i Windows gennem en OS-sårbarhed er sværere end det var endda for et par år siden.
Brug indbyggede antimalwareværktøjer
Microsoft har udviklet antimalware scan interface (AMSI) værktøjer, der kan fange ondsindede scripts i hukommelsen. Enhver applikation kan kalde det, og enhver registreret antimalwaremotor kan behandle det indhold, der sendes til AMSI, sagde Nikhal Mittal, penetrationstester og associeret konsulent med NoSoSecure, til deltagere ved hans Black Hat-session. Windows Defender og AVG bruger i øjeblikket AMSI, og det bør blive mere bredt vedtaget.
"AMSI er et stort skridt i retning af at blokere script-baserede angreb i Windows," sagde Mittal.
Cyberkriminelle er i stigende grad afhængige af script-baserede angreb, især dem, der udføres på PowerShell, som en del af deres kampagner. Det er svært for organisationer at opdage angreb ved hjælp af PowerShell, fordi de er svære at skelne fra legitim opførsel. Det er også svært at gendanne, fordi PowerShell-scripts kan bruges til at røre ved ethvert aspekt af systemet eller netværket. Med næsten ethvert Windows-system, der nu er forudindlæst med PowerShell, bliver script-baserede angreb meget mere almindelige.
Kriminelle begyndte at bruge PowerShell og indlæse scripts i hukommelsen, men det tog forsvarerne et stykke tid at fange det. ”Ingen var interesseret i PowerShell før for et par år tilbage,” sagde Mittal. ”Vores scripts opdages slet ikke. Antivirusleverandører har kun i de sidste tre år taget det i betragtning. ”
Selvom det er let at opdage scripts, der er gemt på disken, er det ikke så let at stoppe scripts, der er gemt i hukommelsen, fra at blive udført. AMSI forsøger at fange scripts på værtsniveau, hvilket betyder, at inputmetoden - uanset om den er gemt på disken, gemt i hukommelsen eller lanceret interaktivt - ikke betyder noget, hvilket gør det til en "game changer", som Mittal sagde.
AMSI kan imidlertid ikke stå alene, da nytten er afhængig af andre sikkerhedsmetoder. Det er meget vanskeligt for script-baserede angreb at udføre uden at generere logfiler, så det er vigtigt for Windows-administratorer regelmæssigt at overvåge deres PowerShell-logfiler.
AMSI er ikke perfekt - det er mindre nyttigt at detektere tilslørede scripts eller scripts indlæst fra usædvanlige steder som WMI-navneområde, registreringsdatabasenøgler og hændelseslogfiler. PowerShell-scripts, der udføres uden brug af powershell.exe (værktøjer såsom netværkspolitikserver) kan også udløse AMSI. Der er måder at omgå AMSI, såsom at ændre signaturen til scripts, bruge PowerShell version 2 eller deaktivere AMSI. Uanset hvad betragter Mittal stadig AMSI som "fremtiden for Windows-administration."
Beskyt Active Directory
Active Directory er hjørnestenen i Windows-administrationen, og det bliver en endnu mere kritisk komponent, da organisationer fortsætter med at flytte deres arbejdsbelastninger til skyen. Ikke længere brugt til at håndtere godkendelse og styring af lokale interne virksomhedsnetværk, kan AD nu hjælpe med identitet og godkendelse i Microsoft Azure.
Windows-administratorer, sikkerhedsprofessionelle og angribere har alle forskellige perspektiver af Active Directory, fortalte Sean Metcalf, en Microsoft Certified Master for Active Directory og grundlægger af sikkerhedsfirmaet Trimarc, Black Hat-deltagere. For administratoren er fokus på oppetid og at sikre, at AD reagerer på forespørgsler inden for et rimeligt vindue. Sikkerhedsfagfolk overvåger Domain Admin-gruppemedlemskab og holder sig opdateret med software. Angriberen ser på sikkerhedsstillingen for virksomheden for at finde svagheden. Ingen af grupperne har det komplette billede, sagde Metcalf.
Alle godkendte brugere har læseadgang til de fleste, hvis ikke alle, objekter og attributter i Active Directory, sagde Metcalf under samtalen. En standardbrugerkonto kan kompromittere et helt Active Directory-domæne på grund af forkert tildelte modifikationsrettigheder til domænelinkede gruppepolitiske objekter og organisationsenhed. Via brugerdefinerede OU-tilladelser kan en person ændre brugere og grupper uden forhøjede rettigheder, eller de kan gennemgå SID History, en AD-brugerkontoobjektattribut, for at få forhøjede rettigheder, sagde Metcalf.
Hvis Active Directory ikke er sikret, bliver AD-kompromis endnu mere sandsynligt.
Metcalf skitserede strategier for at hjælpe virksomheder med at undgå almindelige fejl, og det koger ned til at beskytte administratorlegitimationsoplysninger og isolere kritiske ressourcer. Hold dig opdateret med softwareopdateringer, især programrettelser, der adresserer sårbarheder i forbindelse med rettigheds-eskalering, og segmenter netværket for at gøre det sværere for angribere at bevæge sig lateralt.
Sikkerhedsprofessionelle bør identificere, hvem der har administratorrettigheder til AD og til virtuelle miljøer, der er vært for virtuelle domænekontrollere, samt hvem der kan logge på domænekontrollere. De skal scanne aktive biblioteksdomæner, AdminSDHolder-objekt og gruppepolitikobjekter (GPO) for upassende brugerdefinerede tilladelser samt sikre, at domæneadministratorer (AD-administratorer) aldrig logger ind på ikke-tillid til systemer såsom arbejdsstationer med deres følsomme legitimationsoplysninger. Servicekontorettigheder bør også være begrænsede.
Få AD-sikkerhed rigtigt, og mange almindelige angreb mindskes eller bliver mindre effektive, sagde Metcalf.
Virtualisering til at indeholde angreb
Microsoft introducerede virtualiseringsbaseret sikkerhed (VBS), et sæt sikkerhedsfunktioner bagt i hypervisoren, i Windows 10. Angrebsoverfladen for VBS er forskellig fra den for andre virtualiseringsimplementeringer, sagde Rafal Wojtczuk, chefsikkerhedsarkitekt hos Bromium.
"På trods af sit begrænsede anvendelsesområde er VBS nyttig - det forhindrer visse angreb, der er ligetil uden det," sagde Wojtczuk.
Hyper-V har kontrol over rodpartitionen, og den kan implementere ekstra begrænsninger og levere sikre tjenester. Når VBS er aktiveret, opretter Hyper-V en specialiseret virtuel maskine med et højt tillidsniveau til at udføre sikkerhedskommandoer. I modsætning til andre virtuelle computere er denne specialmaskine beskyttet mod rodpartitionen. Windows 10 kan håndhæve kodeintegritet i brugertilstandsbinarier og scripts, og VBS håndterer kerne-tilstandskode. VBS er designet til ikke at tillade, at usigneret kode udføres i kernekonteksten, selvom kernen er kompromitteret. I det væsentlige udfører betroet kode, der kører i den specielle VM, rettigheder i rodpartitionens udvidede sidetabeller (EPT) til sider, der gemmer signeret kode. Da siden ikke kan være både skrivbar og eksekverbar på samme tid, kan malware ikke gå ind i kernetilstand på den måde.
Da hele konceptet hænger sammen med evnen til at fortsætte, selvom rodpartitionen er blevet kompromitteret, undersøgte Wojtczuk VPS fra et angribers perspektiv, der allerede har brudt ind i rodpartitionen - for eksempel hvis en angriber omgår Secure Boot for at indlæse en trojaniseret hypervisor.
”Sikkerhedsstillingerne i VBS ser godt ud, og det forbedrer sikkerheden i et system - det kræver bestemt yderligere yderst nontrivial indsats for at finde passende sårbarhed, der muliggør bypass,” skrev Wojtczuk i den medfølgende hvidbog.
Eksisterende dokumentation antyder, at Secure Boot er påkrævet, og VTd og Trusted Platform Module (TPM) er valgfri til aktivering af VBS, men det er ikke tilfældet. Administratorer skal have både VTd og TPM for at beskytte hypervisoren mod en kompromitteret rodpartition. Simpelthen at aktivere Credential Guard er ikke nok for VBS. Yderligere konfiguration for at sikre, at legitimationsoplysninger ikke vises i clear i rodpartitionen er nødvendig.
Microsoft har gjort en stor indsats for at gøre VBS så sikker som muligt, men den usædvanlige angrebsflade giver stadig anledning til bekymring, sagde Wojtczuk.
Sikkerhedslinjen er højere
Breakers, som inkluderer kriminelle, forskere og hackere, der er interesserede i at se, hvad de kan gøre, er involveret i en omfattende dans med Microsoft. Så snart breakers finder ud af en måde at omgå Windows-forsvar, lukker Microsoft sikkerhedshullet. Ved at implementere innovativ sikkerhedsteknologi for at gøre angreb hårdere, tvinger Microsoft breakers til at grave dybere for at komme omkring dem. Windows 10 er det mest sikre Windows nogensinde takket være disse nye funktioner.
Det kriminelle element er travlt på arbejdspladsen, og malware-svøbet viser ikke tegn på at bremse snart, men det er værd at bemærke, at de fleste angreb i dag er resultatet af ikke-patchet software, social engineering eller miskonfigurationer. Ingen softwareapplikationer kan være helt fejlfri, men når de indbyggede forsvar gør det sværere at udnytte eksisterende svagheder, er det en sejr for forsvarerne. Microsoft har gjort meget i løbet af de sidste par år for at blokere angreb på operativsystemet, og Windows 10 er den direkte modtager af disse ændringer.
I betragtning af at Microsoft styrket sine isolationsteknologier i Windows 10-jubilæumsopdatering, ser vejen til vellykket udnyttelse af et moderne Windows-system endnu hårdere ud.
