Sikkerhetsforskere ved CERT har uttalt at Windows 10, Windows 8,1 og Windows 8 ikke klarer å randomisere hver applikasjon dersom systemovervåket, obligatorisk ASLR er aktivert via EMET eller Windows Defender Exploit Guard. Microsoft har svart ved å si at implementeringen av Adresse Space Layout Randomization (ASLR) på Microsoft Windows fungerer som ønsket. La oss ta en titt på problemet.
Hva er ASLR
ASLR er utvidet som Randomisering av adresseplasslayout, funksjonen gjorde en debut med Windows Vista og er designet for å forhindre angrep på nytt. Angrepene forhindres ved å laste kjørbare moduler på ikke-forutsigbare adresser, og dermed redusere angrep som vanligvis er avhengig av kode plassert på forutsigbare steder. ASLR er finjustert for å bekjempe utnytteteknikker som returorientert programmering som stole på kode som vanligvis lastes inn i en forutsigbar plassering. Som fra hverandre er en av de store downsides av ASLR at den må knyttes til / DYNAMICBASE flagg.
Anvendelsesområde
ASLR tilbød beskyttelse til søknaden, men dekket ikke de systembaserte begrensninger. Faktisk er det av denne grunn at Microsoft EMET ble utgitt. EMET sørget for at det dekket både system-wide og applikasjonsspesifikke begrensninger. EMET endte som et systemovergripende motvirkning ved å tilby en frontend for brukerne. Men fra starten av Windows 10 Fall Creators Update har EMET-funksjonene blitt erstattet med Windows Defender Exploit Guard.
ASLR-en kan aktiveres obligatorisk for både EMET og Windows Defender Exploit Guard for koder som ikke er koblet til / DYNAMICBASE-flagg, og dette kan implementeres enten pr. Program eller en systembasert base. Hva dette betyr er at Windows automatisk vil flytte koden til et midlertidig flyttetabell, og dermed vil den nye plasseringen av koden være forskjellig for hver omstart. Fra og med Windows 8, endret designendringene at den systembaserte ASLR skal ha system-wide bottom-up ASLR aktivert for å kunne levere entropi til den obligatoriske ASLR.
Problemet
ASLR er alltid mer effektiv når entropien er mer. I mye enklere termer øker entropien antall søkemuligheter som må utforskes av angriperen. Imidlertid, både EMET og Windows Defender Exploit Guard muliggjør systembasert ASLR uten å muliggjøre systembasert underside ASLR. Når dette skjer, vil programmene uten / DYNMICBASE bli flyttet, men uten entropi. Som vi forklarte tidligere, ville fraværet av entropi gjøre det relativt lettere for angripere siden programmet vil starte den samme adressen hver gang.
Dette problemet påvirker for øyeblikket Windows 8, Windows 8.1 og Windows 10 som har en ASLR-system aktivert via Windows Defender Exploit Guard eller EMET. Siden adresseflyttingen er ikke-DYNAMICBASE i naturen, overstyrer den vanligvis fordelen av ASLR.
Hva Microsoft har å si
Microsoft har vært rask og har allerede utstedt en uttalelse. Dette er hva folkene i Microsoft måtte si,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
De har spesifikt beskrevet de løsninger som vil bidra til å oppnå ønsket nivå av sikkerhet. Det er to løsninger for de som ønsker å aktivere obligatorisk ASLR og bottom-up randomisering for prosesser som EXE ikke har valgt for ASLR.
1] Lagre følgende i optin.reg og importer det for å aktivere obligatorisk ASLR og bottom-up randomisering hele systemet.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Aktiver obligatorisk ASLR og bottom-up randomisering via programspesifikk konfigurasjon ved hjelp av WDEG eller EMET.