La seguridad es el principal argumento de venta de Microsoft para la última versión de su sistema operativo de escritorio. El gigante del software está reiterando ahora que es serio con ese objetivo al ejemplificar cómo, en algún momento en 2016, frustró algunas de las hazañas de día cero antes de que los parches estuvieran disponibles.
El equipo del Centro de protección contra el malware de Microsoft ilustró cómo las últimas características de seguridad de Windows 10 derrotaron a dos vulnerabilidades de día cero en noviembre de 2016, incluso antes de que Microsoft reparara esos defectos. Estas características de seguridad formaban parte de la actualización del aniversario que Microsoft lanzó el verano pasado.
Microsoft dijo que estaba probando los exploits que apuntaban a las estrategias de mitigación publicadas en agosto de 2016. El objetivo era demostrar cómo esas técnicas podrían mitigar las futuras hazañas de día cero que tienen las mismas características. La compañía Redmond dijo en una entrada del blog:
«Una de las principales consecuencias de la detonación de los ataques de día cero es que cada caso representa una valiosa oportunidad para evaluar la resiliencia de una plataforma, es decir, cómo las técnicas de mitigación y las capas defensivas adicionales pueden mantener a raya los ciberataques, al tiempo que se corrigen las vulnerabilidades y se despliegan los parches. Debido a que lleva tiempo buscar vulnerabilidades y es virtualmente imposible encontrarlas todas, estas mejoras de seguridad pueden ser críticas para prevenir ataques basados en vulnerabilidades de día cero».
Microsoft también dijo que demostró cómo las técnicas de mitigación de explotación en Windows 10 Anniversary Update neutralizaron los métodos de explotación además de los exploits específicos en sí mismos. Esto llevó a la reducción de las superficies de ataque que habrían allanado el camino para futuras hazañas de día cero.
Más específicamente, el equipo examinó dos exploits a nivel de kernel que el grupo de amenazas persistentes STRONTIUM utilizó para intentar atacar a los usuarios de Windows 10. El equipo registró la vulnerabilidad como CVE-2016-7255, que Microsoft detectó en octubre de 2016 como parte de una campaña de «spear-phishing» dirigida a grupos de expertos y organizaciones no gubernamentales de EE.UU. El grupo APT combinó el error con un defecto de Adobe Flash Player, un ingrediente común en muchos ataques.
La segunda hazaña es el nombre en clave CVE-2016-7256, una vulnerabilidad de elevación de fuente de privilegio OpenType que surgió como parte de los ataques contra las víctimas de Corea del Sur en junio de 2016. Las dos hazañas aumentaron los privilegios. Las técnicas de seguridad de Windows 10 que venían con la actualización Anniversary Update bloquearon ambas amenazas.