Segurança é o principal ponto de venda da Microsoft para a versão mais recente de seu sistema operacional de desktop. A gigante do software agora está reiterando que é sério com esse objetivo, exemplificando como, em algum momento de 2016, frustrou algumas explorações de dia zero antes que os patches se tornassem disponíveis.

A equipe do Microsoft Malware Protection Center ilustrou como os recursos de segurança mais recentes do Windows 10 derrotaram duas vulnerabilidades de dia zero em novembro de 2016, mesmo antes de a Microsoft corrigir essas falhas. Esses recursos de segurança fizeram parte da atualização de aniversário lançada pela Microsoft no verão passado.

A Microsoft disse que estava testando as explorações direcionadas às estratégias de mitigação lançadas em agosto de 2016. O objetivo era demonstrar como essas técnicas podem mitigar futuras explorações de dia zero com as mesmas características. A empresa Redmond disse em um post no blog:

“Uma das principais conclusões da detonação de explorações de dia zero é que cada instância representa uma oportunidade valiosa para avaliar a resiliência de uma plataforma - como técnicas de mitigação e camadas defensivas adicionais podem manter os ciberataques afastados, enquanto as vulnerabilidades estão sendo corrigidas e os patches são sendo implantado. Como leva tempo para procurar vulnerabilidades e é praticamente impossível encontrar todas elas, esses aprimoramentos de segurança podem ser críticos na prevenção de ataques baseados em explorações de dia zero. ”

A Microsoft também disse que demonstrou como as técnicas de atenuação de exploração no Windows 10 Anniversary Update neutralizavam os métodos de exploração, além das próprias explorações específicas. Isso levou à redução das superfícies de ataque que abririam caminho para futuras explorações de dia zero.

Mais especificamente, a equipe examinou duas explorações no nível do kernel que o grupo de ameaças persistentes STRONTIUM usou para tentar atacar os usuários do Windows 10. A equipe registrou a exploração como CVE-2016-7255, que a Microsoft detectou em outubro de 2016 como parte de uma campanha de spear phishing que visava grupos de reflexão e organizações não-governamentais nos EUA. O grupo APT combinou o bug com uma falha do Adobe Flash Player, um ingrediente comum em muitos ataques.

A segunda exploração é denominada CVE-2016-7256, uma exploração de elevação de privilégio da fonte OpenType que surgiu como parte dos ataques contra vítimas sul-coreanas em junho de 2016. As duas explorações aumentaram os privilégios. As técnicas de segurança do Windows 10 que vieram com a Atualização de Aniversário bloquearam as duas ameaças.