La sécurité est le principal argument de vente de Microsoft pour la dernière version de son système d’exploitation de bureau. Le géant de l’informatique réaffirme à présent qu’il est sérieux dans cet objectif en montrant comment, à un moment donné en 2016, il a déjoué certains exploits du jour zéro avant que les correctifs ne deviennent disponibles.

L'équipe de Microsoft Malware Protection Center a expliqué comment les dernières fonctionnalités de sécurité de Windows 10 ont permis de supprimer deux vulnérabilités jour zéro en novembre 2016, avant même que Microsoft ne corrige ces failles. Ces fonctionnalités de sécurité faisaient partie de la mise à jour d'anniversaire que Microsoft a lancée l'été dernier.

Microsoft a déclaré qu'elle testait les stratégies de réduction d'atténuation publiées en août 2016 dans le but d'exploiter ces stratégies. L'objectif était de montrer en quoi ces techniques pourraient atténuer les futures technologies du jour zéro présentant les mêmes caractéristiques. La société Redmond a déclaré dans un article de blog:

«Une des principales retombées de la détonation des exploits du jour zéro est que chaque instance représente une opportunité précieuse d’évaluer la capacité de résilience d’une plate-forme - comment des techniques d’atténuation et des couches défensives supplémentaires peuvent éloigner les cyberattaques, tandis que en cours de déploiement. Parce qu'il faut du temps pour rechercher les vulnérabilités et qu'il est pratiquement impossible de toutes les trouver, de telles améliorations de la sécurité peuvent être essentielles pour prévenir les attaques basées sur des exploits du jour zéro."

Microsoft a également déclaré avoir démontré comment les techniques d'atténuation des attaques dans Windows 10 Anniversary Update neutralisaient les méthodes d'attaque mises à part les exploits spécifiques. Cela a conduit à la réduction des surfaces d'attaque, ce qui aurait ouvert la voie à de futurs exploits zéro jour.

Plus précisément, l'équipe a examiné deux exploits au niveau du noyau utilisés par le groupe de menaces persistantes avancées STRONTIUM utilisé pour tenter d'attaquer les utilisateurs de Windows 10. L’équipe a enregistré l’exploit sous le nom CVE-2016-7255, détecté par Microsoft en octobre 2016 dans le cadre d’une campagne de hameçonnage ciblant des groupes de réflexion et des organisations non gouvernementales aux États-Unis. Le groupe APT a associé ce bogue à une faille du lecteur Adobe Flash, un ingrédient commun dans de nombreuses attaques.

Le deuxième exploit est le nom de code CVE-2016-7256, un exploit d'élévation des privilèges de police OpenType qui a fait surface lors des attaques contre les victimes sud-coréennes de juin 2016. Les deux exploits ont vu leurs privilèges augmenter. Les techniques de sécurité Windows 10 fournies avec la mise à jour d'anniversaire ont bloqué les deux menaces.