Implementering af adresserummet Layout Randomization on Windows

Sikkerhedsforskere ved CERT har oplyst, at Windows 10, Windows 8,1 og Windows 8 ikke er i stand til at randomisere hver applikation, hvis systembaseret obligatorisk ASLR er aktiveret via EMET eller Windows Defender Exploit Guard. Microsoft har svaret ved at sige, at implementeringen af ​​ Randomisering af adresseplaceringer (ASLR) på Microsoft Windows virker som ønsket. Lad os se på spørgsmålet.

Hvad er ASLR

ASLR udvides som Adress Space Layout Randomization, der er lavet en debut med Windows Vista og er designet til at forhindre angreb på genbrug af kode. Angrebene forhindres ved at indlæse eksekverbare moduler på ikke-forudsigelige adresser, hvilket reducerer angreb, der normalt afhænger af kode placeret på forudsigelige steder. ASLR er finjusteret til at bekæmpe udnyttelsesteknikker som returorienteret programmering, der er afhængige af kode, der generelt er indlæst i en forudsigelig placering. At adskilt er en af ​​de største ulemper ved ASLR, at den skal være forbundet med / DYNAMICBASE flag.

Anvendelsesområde

ASLR tilbyder beskyttelse til applikationen, men det gjorde ikke dække de systemmæssige dæmpninger. Faktisk er det af denne grund, at Microsoft EMET blev frigivet. EMET sikrede sig, at den dækkede både system-dækkende og applikationsspecifikke afbødninger. EMET endte som et systemoveralt mindskninger ved at tilbyde en front-end til brugerne. Men fra starten af ​​Windows 10 Fall Creators Update er EMET-funktionerne blevet erstattet med Windows Defender Exploit Guard.

ASLR`en kan aktiveres obligatorisk for både EMET og Windows Defender Exploit Guard for koder, der ikke er knyttet til / DYNAMICBASE flag og dette kan implementeres enten pr. ansøgning eller på hele systemet. Hvad dette betyder er, at Windows automatisk vil flytte kode til en midlertidig flytningstabel, og den nye placering af koden vil derfor være anderledes for hver genstart. Med udgangspunkt i Windows 8 har designændringerne givet udtryk for, at den systembaserede ASLR skal have systembaseret bottom-up ASLR aktiveret for at kunne levere entropi til den obligatoriske ASLR.

Problemet

ASLR er altid mere effektivt, når entropien er mere. I meget enklere udtryk øger entropien antallet af søgepladser, der skal udforskes af angriberen. Men både EMET og Windows Defender Exploit Guard muliggør systembaseret ASLR uden at muliggøre systembaseret bottom up ASLR. Når dette sker, vil programmerne uden / DYNMICBASE blive flyttet, men uden entropi. Som vi forklarede tidligere ville fraværet af entropi gøre det forholdsvis lettere for angriberne, da programmet vil genstarte den samme adresse hver gang.

Dette problem påvirker i øjeblikket Windows 8, Windows 8.1 og Windows 10, som har en systembaseret ASLR aktiveret via Windows Defender Exploit Guard eller EMET. Da adresselokaliseringen ikke er DYNAMICBASE, naturligvis overstyrer den fordelene ved ASLR.

Hvad Microsoft har at sige

Microsoft har været hurtig og har allerede udgivet en erklæring. Dette er, hvad folkene i Microsoft havde at sige,

"Opfyldelsen af ​​obligatorisk ASLR, som CERT observerede, er ved design og ASLR virker som ønsket. WDEG-teamet undersøger konfigurationsproblemet, der forhindrer systembaseret aktivering af bottom-up ASLR og arbejder på at adressere det i overensstemmelse hermed. Dette problem skaber ikke yderligere risiko, da det kun sker, når du forsøger at anvende en ikke-standardkonfiguration til eksisterende versioner af Windows. Selv da er den effektive sikkerhedsstilling ikke værre end det, der leveres som standard, og det er let at arbejde rundt om problemet gennem de trin, der er beskrevet i dette indlæg "

De har specifikt beskrevet de løsninger, der vil hjælpe med at nå det ønskede niveau af sikkerhed. Der er to løsninger til dem, der gerne vil aktivere obligatorisk ASLR og bottom-up randomisering til processer, hvis EXE ikke har optaget til ASLR.

1] Gem følgende i optin.reg og importer det for at aktivere obligatorisk ASLR og bottom-up randomisering hele systemet.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Aktiver obligatorisk ASLR og bottom-up randomisering via program- specifik konfiguration ved hjælp af WDEG eller EMET.

Sagde Microsoft - Dette problem skaber ikke yderligere risiko, da det kun sker, når du forsøger at anvende en ikke-standardkonfiguration til eksisterende versioner af Windows.