CERTi turvalisuse uurijad on öelnud, et Windows 10, Windows 8.1 ja Windows 8 ei suuda korralikult iga rakendust juhuslikult jaotada, kui kogu EMIS- või Windows Defender Exploit Guardi kaudu on lubatud kogu ASILi kohustuslik ASLR. Microsoft on vastanud, öeldes, et rakendamine Aadressiruumide paigutuse randomiseerimine (ASLR) Microsoft Windows töötab ettenähtud viisil. Vaatame probleemi.
Mis on ASLR?
ASLR laieneb kui aadressiruumide paigutuse randomiseerimine, see funktsioon debüüdi Windows Vistaga ja selle eesmärk on ära hoida koodi taaskasutamise rünnakud. Rünnakute takistamiseks laaditakse käivitatavaid mooduleid mitte-prognoositavates aadressides, vähendades seeläbi rünnakuid, mis tavaliselt sõltuvad prognoositavatesse kohtadesse paigutatud koodist. ASLR on täpselt häälestatud, et võidelda selliste tehnoloogiate kasutamisega nagu Return-oriented programmeerimine, mis põhineb tavaliselt eeldataval asukohal laaditud koodil. ASLRi üheks peamiseks puuduseks on see, et see tuleb ühendada / DYNAMICBASE lipp
Kasutusala
ASLR pakkus rakenduse kaitset, kuid see ei hõlmanud kogu süsteemi hõlmavaid leevendamisi. Just sellel põhjusel vabastati Microsoft EMET. EMET tagab, et see hõlmab nii kogu süsteemi kui ka rakenduse spetsiifilisi leevendamisi. EMET lõppes kogu süsteemi hõlmavate leevendamiste näol, pakkudes kasutajatele esiotsa. Kuid alates värskendusest Windows 10 Fall Creators alates EMET funktsioonid on asendatud Windows Defender Exploit Guardiga.
ASLR-i saab kohustuslikult lubada nii EMET kui ka Windows Defender Exploit Guard koodide jaoks, mis ei ole seotud / DYNAMICBASE lipuga, ja seda saab rakendada kas rakenduse või kogu süsteemi alusel. See tähendab, et Windows seab koodi automaatselt ajutise ümberpaigutamise tabelile ja seega on iga koodi uus asukoht iga rebooti jaoks erinev. Alates Windows 8-st on disainimuudatustega lubatud, et kogu süsteemi ASLR-süsteemil oleks kogu süsteemi alt üles suunatud ASLR, et võimaldada kohustusliku ASLR-i entroopiat.
Probleem
ASLR on alati tõhusam, kui entroopia on rohkem. Palju lihtsamalt tähendab entroopia suurenemine ründaja poolt uuritava ruumi arvu. Mõlemad, EMET ja Windows Defender Exploit Guard võimaldavad kogu ASLR-i ilma süsteemiülesanneteta ülalt alla ASLR-i. Kui see juhtub, saavad programmid ilma / DYNMICBASE-i ümber paigutada, kuid ilma entroopia. Nagu me selgitasime varem, entroopia puudumine muudaks ründajad suhteliselt lihtsamaks, kuna programm käivitab iga kord sama aadressi.
See probleem mõjutab praegu Windows 8, Windows 8.1 ja Windows 10, millel on kogu Windows Defender Exploit Guard või EMET-i kaudu võimaldatud ASLR-i kogu süsteem. Kuna aadresside ümberpaigutamine on olemuselt mitte-DYNAMICBASE, ignoreerib see tavaliselt ASLRi eelist.
Mida Microsoft peab öelda
Microsoft on olnud kiire ja avaldanud juba avalduse. Selleks peavad Microsofti inimesed ütlema:
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Nad on üksikasjalikult välja töötanud lahendused, mis aitavad saavutada soovitud turvalisuse taset. Neile, kes sooviksid lubada kohustuslikku ASLR-i ja alt-üles-juhuslikku valikut, on protsessid, mille EXE ei valinud ASLR-i, on kaks lahendust.
1] Salvestage optin.reg sisse ja importige see, et võimaldada kohustuslikku ASLR-i ja alt-üles-tüüpi randomiseerimissüsteemi.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Võimaldab kohustuslikku ASLR-i ja altpoolt juhuslikku randomiseerimist programmi-spetsiifilise konfiguratsiooni abil, kasutades WDEG-d või EMET-i.