Provedba Randomization Layout Address Space u sustavu Windows

Sadržaj:

Provedba Randomization Layout Address Space u sustavu Windows
Provedba Randomization Layout Address Space u sustavu Windows
Anonim

Sigurnosni istraživači iz CERT-a izjavili su da Windows 10, Windows 8,1 i Windows 8 ne uspoređuju pravilno svakoj aplikaciji ako je omogućeno sustavno obavezno ASLR putem EMET-a ili Windows Defender Exploit Guard. Microsoft je odgovorio da je implementacija Randomiziranje izgleda prostora (ASLR) na sustavu Microsoft Windows radi kako je namijenjen. Pogledajmo ovo pitanje.

Image
Image

Što je ASLR

ASLR se proširuje kao Randomiziranje izgleda prostornog prostora, značajka je debitirao sa sustavom Windows Vista i osmišljen je kako bi spriječio napade kod ponovnog korištenja koda. Napadi se spriječavaju učitavanjem izvršnih modula na nepredvidljivim adresama, čime se ublažavaju napadi koji obično ovise o kodu koji se nalazi na predvidljivim mjestima. ASLR se dobro prilagođava borbi protiv tehnika iskorištavanja poput programiranja usmjerenih na povratak koji se oslanjaju na kod koji se općenito učitava na predvidljivo mjesto. To je, osim jedne od glavnih padova ASLR-a, povezivanje s njom / DYNAMICBASE zastava.

Opseg upotrebe

ASLR je ponudio zaštitu aplikaciji, ali nije pokrivao ublažavanje sustava. U stvari, iz tog razloga je izdan Microsoft EMET. EMET je osigurao da pokriva i ublažavanje sustava i aplikacija. EMET je završio kao lice sustavnih olakšica nudeći front-end korisnicima. Međutim, počevši od ažuriranja autora sustava Windows 10, autoriteti EMET zamijenjeni su sustavom Windows Defender Exploit Guard.

ASLR se može obavezno omogućiti za EMET i Windows Defender Exploit Guard za kodove koji nisu povezani s / DYNAMICBASE zastavicom i to se može provesti bilo na temelju aplikacije ili na razini cijelog sustava. Što to znači jest da će sustav Windows automatski prebaciti kôd u privremenu tablicu preseljenja, pa će nova lokacija koda biti drugačija za svako ponovno podizanje sustava. Polazeći od sustava Windows 8, promjene u dizajnu uvjetovale su da ASLR na cijelom sustavu treba imati ASLR odozdo prema gore, kako bi se omogućio entropiju obveznog ASLR-a.

Problem

ASLR je uvijek učinkovitiji kada je entropija više. U mnogo jednostavnijim uvjetima povećanje entropije povećava broj prostora za pretraživanje koji napadač treba istražiti. Međutim, i EMET i Windows Defender Exploit Guard omogućuju ASLR na cijelom sustavu bez omogućavanja donjeg dijela ASLR sustava. Kada se to dogodi, programi bez / DYNMICBASE će se preseliti, ali bez entropije. Kao što smo ranije objasnili, nedostatak entropije olakšat će napadačima relativno lakše jer će program svaki put ponovno pokrenuti istu adresu.

Ovaj problem trenutačno utječe na Windows 8, Windows 8.1 i Windows 10 koji imaju sustav ASLR omogućen putem programa Windows Defender Exploit Guard ili EMET. Budući da je preseljenje adresa ne-DYNAMICBASE u prirodi, ona obično nadjačava prednost ASLR-a.

Ono što Microsoft ima za reći

Microsoft je brz i već je izdao izjavu. To je ono što su ljudi iz tvrtke Microsoft morali reći,

“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”

Posebno su detaljno opisali rješenja koja će pomoći u postizanju željene razine sigurnosti. Postoje dva zaobilazna rješenja za one koji žele omogućiti obveznu ASLR i bottom-up randomizaciju za procese čiji se EXE nije uključio u ASLR.

1] Spremite sljedeće u optin.reg i uvezite ga kako biste omogućili sustav ASLR i bottom-up randomizacije cijelog sustava.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Omogućite obveznu ASLR i donje poprečno raspoređivanje putem konfiguracije specifične za program pomoću programa WDEG ili EMET.

Preporučeni: