Kontor

Implementering av Randomisering av adressrumslayout på Windows

TRUMP VS HILLARY SEGMENT 1

TRUMP VS HILLARY SEGMENT 1
Anonim

Säkerhetsforskare vid CERT har angett att Windows 10, Windows 8,1 och Windows 8 misslyckas med att ordentligt randomisera varje applikation om systemövergripande obligatorisk ASLR är aktiverad via EMET eller Windows Defender Exploit Guard. Microsoft har svarat genom att säga att implementeringen av Randomisering av adressutrymme (ASLR) på Microsoft Windows fungerar som avsedd. Låt oss ta en titt på frågan.

Vad är ASLR

ASLR expanderas som Randomisering av adressutrymmelayout, funktionen gjorde en debut med Windows Vista och är utformad för att förhindra återanvändning av kodanvändning. Attackerna förhindras genom att ladda exekverbara moduler vid icke förutsägbara adresser och därigenom mildra attacker som vanligtvis beror på kod placerad på förutsägbara platser. ASLR är finjusterad för att bekämpa utnyttjande tekniker som Returorienterad programmering som bygger på kod som vanligen laddas in på en förutsägbar plats. En av de största nackdelarna med ASLR är att den måste kopplas till / DYNAMICBASE flaggan.

Användningsområde

ASLR erbjöd skydd för applikationen, men det gjorde inte täcka systemövergripande mildnader. Det är faktiskt av den anledningen att Microsoft EMET släpptes. EMET säkerställde att det omfattade både systemövergripande och applikationsspecifika mildringar. EMET slutade som systemövergripande motverkningar genom att erbjuda ett front-end för användarna. Men från och med uppdateringen av Windows 10 Fall Creators har EMET-funktionerna ersatts med Windows Defender Exploit Guard.

ASLR kan aktiveras obligatoriskt för både EMET och Windows Defender Exploit Guard för koder som inte är kopplade till / DYNAMICBASE flagga och detta kan genomföras antingen per applikation eller en systembaserad bas. Vad detta innebär är att Windows automatiskt flyttar koden till ett tillfälligt flyttningsbord och så kommer den nya platsen för koden att vara annorlunda för varje omstart. Från och med Windows 8 uppmanade designändringarna att systemövergripande ASLR ska ha systemövergripande ASLR-uppkoppling för att ge entropi till den obligatoriska ASLR.

Problemet

ASLR är alltid mer effektivt när entropin är mer. I mycket enklare termer ökning av entropi ökar antalet sökutrymmen som måste undersökas av angriparen. Emellertid, både EMET och Windows Defender Exploit Guard möjliggör systemövergripande ASLR utan att möjliggöra hela systemet uppifrån ASLR. När detta händer kommer programmen utan / DYNMICBASE att flyttas men utan entropi. Som vi förklarade tidigare skulle avsaknaden av entropi göra det relativt lättare för angripare eftersom programmet startar samma adress varje gång.

Detta problem påverkar för närvarande Windows 8, Windows 8.1 och Windows 10 som har en ASLR-system som är aktiverad via Windows Defender Exploit Guard eller EMET. Eftersom adressflyttningen inte är DYNAMICBASE i naturen, överträder det vanligtvis fördelen med ASLR.

Vad Microsoft har att säga

Microsoft har varit snabb och har redan utfärdat ett uttalande. Det här var vad människorna i Microsoft hade att säga,

"Beteendet hos den obligatoriska ASLR som CERT observerade är genom design och ASLR fungerar som den är avsedd. WDEG-teamet undersöker konfigurationsproblemet som förhindrar systemövergripande aktivering av ASLR i botten upp och arbetar för att hantera det i enlighet med detta. Problemet skapar inte ytterligare risk eftersom det bara uppstår när man försöker att använda en icke-standardkonfiguration till befintliga versioner av Windows. Även då är den effektiva säkerhetsställningen inte sämre än vad som tillhandahålls som standard och det är enkelt att arbeta kring problemet genom de steg som beskrivs i detta inlägg "

De har specifikt beskrivit de lösningar som kommer att hjälpa till att uppnå önskad nivå av säkerhet. Det finns två lösningar för dem som vill aktivera obligatorisk ASLR och bottom-up randomisering för processer vars EXE inte har valt in till ASLR.

1] Spara följande i optin.reg och importera det för att aktivera obligatorisk ASLR och bottom-up randomisering hela systemet.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Aktivera obligatorisk ASLR och bottom-up randomisering via program- specifik konfiguration med WDEG eller EMET.

Såg Microsoft - Problemet skapar inte ytterligare risk eftersom det bara uppstår när man försöker tillämpa en icke-standardkonfiguration på befintliga versioner av Windows.