Улучшенные функции безопасности противодействуют атакам на пользователей Windows

(для увеличения - кликните на изображение)

Постоянные улучшения безопасности продуктов Microsoft, наконец, начинают приносить свои плоды. Выступая на конференции по безопасности BlueHat, проходившей в Израиле, инженер по безопасности Microsoft Мэтт Миллер отметил, что массовая эксплуатация недостатков безопасности в отношении пользователей Microsoft теперь редкость — исключение из правила, а не из нормы.

Брандмауэр по умолчанию, защищенное представление в продуктах Office, DEP (предотвращение выполнения данных), ASLR (рандомизация расположения адресного пространства), CFG (Control Flow Guard), песочница для приложений и другие нововведения значительно уменьшили количество масштабно эксплуатируемых уязвимостей, а также усложнили поиск zero-day или надежных эксплойтов для недавно исправленных ошибок Microsoft, считает Миллер.

 

Сейчас, по мнению эксперта, чаще всего наблюдается массовое использование давно исправленных уязвимостей там, где соответствующие обновления так и не были установлены, хотя у компаний было достаточно времени для их тестирования и развертывания.

 

Обычно использование уязвимостей является частью целевых, а не массовых атак, подчеркнул Миллер.

 

Например, в 2018 году 90% всех zero-day атак, влияющих на продукты Microsoft, были частью целевых атак. Это атаки кибершпионов национальных государств против стратегических целей, а не уязвимостей, обнаруженных, например, теми же спамерами или киберпреступниками, оперирующими наборами эксплоитов.

 

Остальные 10 процентов попыток эксплуатации zero-day были деятельностью не киберпреступников, пытающихся заработать деньги, а людей, разбирающих механизм использования уязвимости, которую еще предстоит исправить.

(для увеличения - кликните на изображение)

Сейчас редко можно встретить эксплойт не zero-day, выпущенный в течение 30 дней с момента появления патча, — добавил Миллер.

Эксплойты для уязвимостей как нулевого, так и ненулевого дня обычно появляются гораздо позже, потому что становится все сложнее и сложнее разрабатывать атакующие эксплойты для уязвимостей из-за всех дополнительных функций безопасности, которые Microsoft добавила в Windows и другие продукты.

 

Два графика в презентации Миллера прекрасно иллюстрируют это новое положение дел. Диаграмма слева показывает, как Microsoft активизировала усилия по исправлению недостатков безопасности в последние годы, когда все больше и больше ошибок безопасности получают исправления (и идентификатор CVE).

 

С другой стороны, диаграмма справа демонстрирует, что, несмотря на растущее число известных недостатков в продуктах Microsoft, все меньше и меньше этих уязвимостей попадают в арсенал хакерских групп и эксплуатируются в реальных условиях в течение 30 дней после исправления.

(для увеличения - кликните на изображение)

Это показывает, что средства защиты Microsoft выполняют свою работу, создавая дополнительные препятствия на пути киберпреступных групп.

Однако вспомним, как давно Microsoft говорит о так называемом «окне обновления» – периоде времени с момента выхода обновления до момента его установки. Чем оно короче, тем меньше вероятность использования уже исправленной уязвимости. Но давайте говорить честно, а так ли часто, а главное быстро пользователь устанавливаете обновления? Увы, нет. Причин тому много, как объективных, так и субъективных. Не будем здесь обсуждать, как правильно устанавливать обновления, можно сказать одно – чем скорее вы это сделаете, чем меньше вероятность заражения.