CERT drošības darbinieki ir paziņojuši, ka Windows 10, Windows 8.1 un Windows 8 nespēj pienācīgi randomizēt katru lietojumprogrammu, ja obligāta ASLR sistēma ir iespējota, izmantojot EMET vai Windows Defender Exploit Guard. Microsoft atbildēja, sakot, ka Adreses telpas izkārtojuma randomizācija (ASLR) Microsoft Windows darbojas pareizi. Ļaujiet mums apskatīt šo jautājumu.
Kas ir ASLR?
ASLR tiek paplašināts kā adrese telpu izkārtojuma nejaušināšana, šī funkcija debija ar Windows Vista un tā mērķis ir novērst atkārtotas izmantošanas uzbrukumus. Uzbrukumus novērš, iekraujot izpildāmos moduļus neparedzamās adresēs, tādējādi mazinot uzbrukumus, kas parasti ir atkarīgi no paredzētā atrašanās vietā ievietotā koda. ASLR ir precīzi pielāgots, lai apkarotu tādas metodes kā Return-oriented programmēšana, kuras pamatā ir kods, kas parasti tiek ielādēts paredzamā atrašanās vietā. Viens no galvenajiem ASLR nepilnībām ir tas, ka tas ir saistīts ar / DYNAMICBASE karogs
Izmantošanas joma
ASLR piedāvāja aizsardzību pieteikumam, taču tas neattiecās uz sistēmas mēroga mazinājumiem. Patiesībā tieši tāpēc Microsoft EMET tika atbrīvots. EMET nodrošināja, ka tas attiecas gan uz sistēmas mērogu, gan uz konkrētajām lietojumprogrammām paredzēto mazināšanu. EMET parādījās kā sistēmas mēroga mazināšanas sekas, piedāvājot priekšplānā lietotājus. Tomēr, sākot no Windows 10 Fall Creators atjaunināšanas, EMET funkcijas ir aizstātas ar Windows Defender Exploit Guard.
ASLR obligāti var aktivizēt gan EMET, gan Windows Defender Exploit Guard par kodiem, kas nav saistīti ar / DYNAMICBASE karogu, un to var īstenot, pamatojoties uz katru lietojumprogrammu vai sistēmas mērogu. Tas nozīmē, ka sistēma Windows automātiski pārvietos kodu uz pagaidu pārvietošanas tabulu, un tādējādi jaunā koda atrašanās vieta katrai atsāknēm būs atšķirīga. Sākot no Windows 8, dizaina izmaiņām ir noteikts, ka sistēmas mēroga ASLR sistēmai ir jābūt iespējotai no apakšas uz augšu ASLR, lai nodrošinātu entropiju ar obligāto ASLR.
Problēma
ASLR vienmēr ir efektīvāks, ja entropija ir lielāka. Daudz vienkāršākā nozīmē entropijas pieaugums palielina meklējamo vietu skaitu, kas jāpārbauda uzbrucējam. Tomēr gan EMET, gan Windows Defender Exploit Guard nodrošina visaptverošu ASLR sistēmu, nepieļaujot sistēmas augšupēju ASLR darbību. Kad tas notiks, programmas bez / DYNMICBASE tiks pārvietotas, bet bez entropijas. Kā jau iepriekš minējām, entropijas trūkums padarītu to uzbrucējiem salīdzinoši vieglāk, jo programma katru reizi atsāk vienu un to pašu adresi.
Šis jautājums pašlaik ietekmē Windows 8, Windows 8.1 un Windows 10, kuriem ir sistēmas mēroga ASLR, izmantojot Windows Defender Exploit Guard vai EMET. Tā kā adreses pārvietošana nav DYNAMICBASE raksturs, tas parasti ignorē ASLR priekšrocības.
Kas Microsoft ir teikt
Microsoft ir bijusi ātra un jau ir izdevusi paziņojumu. Tas ir tas, ko bija teica ļaudīm pie Microsoft,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Tie ir precīzi sīki izklāstījuši risinājumus, kas palīdzēs sasniegt vēlamo drošības līmeni. Ir divi risinājumi tiem, kuri vēlas, lai procesi, kuru EXE neietilpst ASLR, iespējotu obligātu ASLR un augšupēju randomizāciju.
1] Saglabājiet tālāk norādīto informāciju optin.reg un importējiet to, lai iespējotu obligāto ASLR un augšupejošo nejaušināšanas sistēmu.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Iespējot obligāto ASLR un augšupejošo nejaušo izvēli, izmantojot programmas specifisku konfigurāciju, izmantojot WDEG vai EMET.