Logros del antiamenazas de Windows 10

El nuevo modelo de Windows como servicio de Microsoft ha ayudado a Microsoft a implementar nuevas amenazas y protección contra amenazas más rápido que el modelo anterior, en el que aparecían nuevos lanzamientos cada tres años.

Windows como servicio está en constante evolución del sistema operativo, o mejor dicho, dos veces al año con actualizaciones de funciones alrededor de marzo y septiembre de cada año.

Una nueva publicación de blog en Technet compara el modelo de lanzamiento anterior con el nuevo en términos de mitigación de amenazas y destaca las mejoras y los avances realizados por Microsoft desde el lanzamiento de Windows 10.

Índice

    Logros del antiamenazas de Windows 10

    Reducción de amenazas

    El autor compara la explotación de hace una década con los métodos de explotación utilizados en la actualidad. Microsoft asume que el lanzamiento más rápido de las actualizaciones de funciones de Windows 10 reducirá el impacto de las nuevas prácticas de explotación en la población de Windows.

    La imagen que ve arriba muestra las nuevas técnicas de mitigación de amenazas que Microsoft agregó a las primeras cuatro versiones de Windows 10.

    El artículo del blog destaca importantes medidas de mitigación:

    • Controlador de fuentes en modo personalizado (UMFD) - Una característica implementada en la versión original de Windows 10. Ha movido el procesamiento de fuentes al contenedor de la aplicación en modo personalizado. Además, los administradores pueden deshabilitar el procesamiento de fuentes no confiables para un proceso mediante la política de deshabilitación de fuentes de proceso. (Consulte Prohibir que los programas descarguen fuentes no confiables en Windows 10)
    • Filtrado de llamadas del sistema Win32k - El subsistema Win32k es el objetivo número uno para evitar el sandbox debido a su gran superficie de ataque y 1200 API. La función limita la lista de API que puede navegar.
    • Contenedor de Programas Menos Privilegiados (LPAC) - LPAC es una versión limitada del contenedor de aplicaciones que deniega el acceso de forma predeterminada.
    • Protección contra sobrescritura contra el manejo estructurado de excepciones (SEHOP) - Diseñado para bloquear métodos de explotación que utilizan la técnica de sobrescritura del controlador de excepciones estructurado (SEH).
    • Aleatorización del diseño del espacio de direcciones (ASLR) - Este método carga bibliotecas de vínculos dinámicos en el espacio de direcciones de la memoria aleatoria para mitigar los ataques dirigidos a ubicaciones de memoria específicas.
    • Protección de montón - Windows 10 protege el montón de varias formas, como mediante el fortalecimiento de los metadatos del montón y mediante páginas de protección del montón.
    • Protección de grupos de kernel - Protege la memoria utilizada por el kernel.
    • Protector de flujo de control - Es necesario compilar en programas de software. Microsoft ha agregado esto a Edge, Internet Explorer 11 y otras características de Windows 10. Control Flow Guard determina cuándo un ataque cambia el "supuesto flujo de código".
    • Procesos de protección - Los procesos protegidos son procesos críticos importantes o sistémicos. Windows 10 evita que los procesos que no son de confianza alteren los procesos protegidos. En Windows 10, los programas de seguridad se pueden ubicar en un espacio de proceso protegido.
    • Programas de protección universal de Windows - Los programas de Windows Store (UWP y programas Win32 convertidos) se prueban antes de que estén disponibles.
    • Proc sin hijos - Diseñado para bloquear la ejecución de código mediante la ejecución de procesos secundarios.

    Tras la introducción de amenazas en Windows 10, Microsoft nombra los principales objetivos:

    Reducir la superficie de ataque de la plataforma Windows
    Elimina el objetivo suave de la imagen.
    Elimina los métodos de operación existentes, por lo que necesita encontrar nuevos métodos.
    Reduzca la exposición a vulnerabilidades a través del aislamiento.
    Hacer que la operación general sea más compleja y costosa

    Observaciones finales

    Según Microsoft, Windows como servicio garantiza una implementación más rápida de las técnicas de mitigación de exploits. Si bien esto es probablemente cierto para algunos métodos, es posible que otros también se hayan agregado a versiones anteriores de Windows como actualizaciones.

    Ahora lee: Windows Defender Exploit Guard: propiedad de EMET en Windows 10 (a través de Born)

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir

    Si continuas utilizando este sitio aceptas el uso de cookies. Más información