Provedba randomizacije izgleda adresnog prostora na Windows

Istraživači sigurnosti na CERT-u izjavili su da Windows 10, Windows 8,1 i Windows 8 ne uspoređuju pravilno svakoj aplikaciji ako je obavezno ASLR na cijelom sustavu omogućen putem EMET-a ili Windows Defender Exploit Guard. Microsoft je odgovorio da je implementacija Randomiziranje izgleda prostora (ASLR) u sustavu Microsoft Windows funkcioniralo prema namjeni. Pogledajmo ovo pitanje.

Što je ASLR

ASLR se proširuje kao Randomiziranje izgleda adresnog prostora, značajka je debitirao sa sustavom Windows Vista i osmišljen je kako bi spriječio napade kod ponovnog korištenja koda. Napadi se spriječavaju učitavanjem izvršnih modula na nepredvidljivim adresama, čime se ublažavaju napadi koji obično ovise o kodu koji se nalazi na predvidljivim mjestima. ASLR se dobro prilagođava borbi protiv tehnika iskorištavanja poput programiranja usmjerenih na povratak koji se oslanjaju na kod koji se općenito učitava na predvidljivo mjesto. To je, osim jedne od glavnih padova ASLR-a, potrebno povezati s / DYNAMICBASE zastavom.

Područje primjene

ASLR je ponudio zaštitu aplikaciji, ali nije pokrivaju sustavne olakšice. U stvari, iz tog razloga je izdan Microsoft EMET. EMET je osigurao da pokriva i ublažavanje sustava i aplikacija. EMET je završio kao lice sustavnih olakšica nudeći front-end korisnicima. Međutim, počevši od ažuriranja autora sustava Windows 10 autora, EMET značajke zamijenjene su sustavom Windows Defender Exploit Guard.

ASLR se može obavezno omogućiti za EMET i Windows Defender Exploit Guard za kodove koji nisu povezani s / DYNAMICBASE zastavicom i to se može provesti bilo na temelju aplikacije ili na razini cijelog sustava. Što to znači jest da će sustav Windows automatski prebaciti kôd u privremenu tablicu preseljenja, pa će nova lokacija koda biti drugačija za svako ponovno podizanje sustava. Počevši od sustava Windows 8, promjene u dizajnu uvjetovale su da ASLR na cijelom sustavu treba omogućiti ASLR odozdo prema gore sustava kako bi se opskrba entropijom s obveznim ASLR.

Problem

ASLR je uvijek učinkovitiji kada entropija je više. U mnogo jednostavnijim uvjetima povećanje entropije povećava broj prostora za pretraživanje koji napadač treba istražiti. Međutim, i EMET i Windows Defender Exploit Guard omogućuju ASLR na cijelom sustavu bez omogućavanja donjeg dijela ASLR sustava. Kada se to dogodi, programi bez / DYNMICBASE će se preseliti, ali bez entropije. Kao što smo ranije objasnili, nedostatak entropije olakšat će napadačima relativno lakše jer će program svaki put ponovno pokrenuti istu adresu.

Ovaj problem trenutačno utječe na Windows 8, Windows 8.1 i Windows 10 koji imaju omogućen ASLR u cijelom sustavu putem programa Windows Defender Exploit Guard ili EMET. Budući da je preseljenje adresa ne-DYNAMICBASE u prirodi, obično nadjačava prednost ASLR-a.

Što Microsoft mora reći

Microsoft je brz i već je izdao izjavu. To je ono što su ljudi iz tvrtke Microsoft morali reći: "Ponašanje obveznog ASLR-a koje je CERT primijetio dizajnom i ASLR funkcionira prema namjeni. Tim WDEG-a istražuje problem s konfiguracijom koji sprječava omogućivanje sustava od ASLR odozdo prema gore, te se njime radi kako bi se to moglo riješiti. Ovaj problem ne stvara dodatni rizik jer se pojavljuje samo kada pokušavate primijeniti neku zadanu konfiguraciju u postojeće verzije sustava Windows. Čak i tada, učinkovito sigurnosno držanje nije niže od onog što je zadano i jednostavno je zaobići problem kroz korake opisane u ovom postu. "

Oni su posebno napisali rješenja koja će pomoći u postizanju željene razine sigurnosti. Postoje dva zaobilazna rješenja za one koji bi željeli omogućiti obveznu ASLR i bottom-up randomizaciju za procese čiji se EXE nije uključio u ASLR.

1] Spremite sljedeće u optin.reg i uvezite ga kako biste omogućili sustav ASLR i bottom-up randomization sustava.

Windows Registry Editor Verzija 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Omogućiti obvezno ASLR i donje popuštanje prema gore kroz program- specifične konfiguracije pomoću WDEG-a ili EMET-a.

Rekao je Microsoft - Ovaj problem ne stvara dodatni rizik jer se pojavljuje samo pri pokušaju primjene konfiguracije koja nije zadana u postojeće verzije sustava Windows.