Unos de los puntos de ataques informáticos más populares en el mundo virtual es Windows, y Windows 10 no ha sido la excepción particularmente, pero Microsoft ha hecho un buen trabajo para hacer de su último sistema operativo un bloque anti-hackers bastante bueno y difícil de batir.
La barrera de seguridad es mucho mayor de lo que solía ser, ya que Microsoft ha añadido variadas medidas avanzadas en Windows 10 que busca sacar y dejar sin funcionamiento a ataques enteros a su sistema. A pesar de que los piratas informáticos en la conferencia Black Hat de este año llegaron armados con las técnicas de explotación más sofisticadas de última generación, hubo un reconocimiento tácito de que el desarrollo de una técnica exitosa es ahora mucho más duro con Windows 10 que en tiempos anteriores. Reconociendo entre otras cosas que hoy por hoy romper este sistema es mucho más duro que hace 2 años.
Windows 10 utilice las herramientas integradas de antimalware
Microsoft ha desarrollado la herramienta antimalware de interfaz de exploración (AARMI, en sus siglas en inglés) que puede atrapar los scripts maliciosos en la memoria. Cualquier aplicación puede llamarle, y cualquier motor antimalware registrado puede procesar el contenido presentado hasta AARMI, dijo Nikhal Mittal, consultor asociado con NoSoSecure, y asistente para las sesiónes de Black Hat. Windows Defender y AVG utilizan actualmente AARMI, y deberían ser más ampliamente adoptadas para lograr ser más fuertes en cuanto a seguridad. «AARMI es un gran paso para bloquear los ataques basados en scripts en Windows,» dijo Mittal para finalizar.
Los ciberdelincuentes o hackers como comúnmente se les conoce utilizan cada vez más los ataques basados en scripts, especialmente aquellas que se ejecutan en PowerShell , como parte de sus campañas. Es difícil para las organizaciones descubrir estos ataques utilizando PowerShell porque son difíciles de diferenciar de aquellos de conducta legítima. También es difícil de recuperar, porque las secuencias de comandos de PowerShell se pueden utilizar para tocar cualquier aspecto del sistema o de la red. Con prácticamente todos los sistemas Windows ahora precargado con la herramienta PowerShell, los ataques basados en scripts son cada vez más común.
El PowerShell la herramienta utilizada por los hackers
Los delincuentes comenzaron a utilizar PowerShell y scripts en la memoria. «Nadie se preocupaba por PowerShell hasta hace unos años,» dijo Mittal. «Nuestros scripts no están siendo detectados en absoluto”.
Mientras que es fácil de detectar secuencias de comandos guardados en el disco, que no es tan fácil dejar de scripts guardados en la memoria de ejecución. AARMI trata de atrapar las secuencias de comandos a nivel de host, lo que significa que el método de entrada no importa, lo que es un «cambio en el juego», como dijo Mittal. Sin embargo, AARMI no puede estar solo, ya que la utilidad se basa en otros métodos de seguridad. Es muy difícil que los ataques basados en scripts se ejecuten sin generar registros, por lo que es importante que los administradores de Windows supervisen periódicamente sus registros de PowerShell.
AARMI no es perfecto existen formas de evitar AARMI, tales como cambios en la firma de escrituras, usando PowerShell versión 2, o con la inhabilitación de AARMI. En cualquier caso, Mittal sigue considerando AARMI «el futuro de la administración de Windows.»
La virtualización para contener los ataques
Microsoft introdujo la seguridad basada en la virtualización (VBS, siendo las siglas de este proceso en inglés), que son un conjunto de características de seguridad ejecutadas en el hipervisor, en Windows 10. La superficie de ataque para la EBV es diferente de la de otras implementaciones de virtualización, dijo Rafal Wojtczuk, arquitecto jefe de seguridad en Bromium. «A pesar de su alcance limitado, VBS es útil – y previene ciertos ataques que son directos sin ella», dijo Wojtczuk.
Cabe destacar que VBS está diseñado para impedir que cualquier código sin firmar de la ejecución en el contexto del núcleo, incluso si el núcleo ha sido comprometido. En esencia, el código de confianza que se ejecuta en la concesión especial VM ejecuta los derechos en la página de tablas extendidas desde la partición raíz (EPT) para almacenar páginas de código firmado. Dado que la página no puede ser a la vez escritura y ejecutada al mismo tiempo, el malware no puede entrar en modo de núcleo de esa manera.
Tan pronto como los hackers encuentran una manera de eludir las defensas de Windows, Microsoft cierra el agujero de seguridad. Mediante la implementación de la tecnología de seguridad innovadora para hacer a los ataques más difícil de llevar a cabo. Con todo esto que te mencionamos Windows 10 es el sistema operativo más seguro de la actualidad, y en su última edición este aspecto se ha reforzado. Esta batalla entre ambos bandos parece no tener fin ya que juntos se han buscado hacer mas fuertes debido a la demanda de los métodos utilizados por cada lado.