יישום כתובת אקראית שטח פריסה ב- Windows

חוקרי אבטחה ב- CERT טענו כי Windows 10, Windows 8,1 ו- Windows 8 אינם מצליחים לבצע באופן אקראי כל יישום, אם ה- ASLR המקיף של המערכת מופעל באמצעות EMET או Windows Defender Exploit Guard. מיקרוסופט הגיבה באומרו כי יישום של אקראי פריסת שטח כתובת (ASLR) על Microsoft Windows פועלת כמתוכנן. הבה נסתכל על הבעיה.

מה זה ASLR

ASLR מורחבת ככתובת שטח פריסת Randomisation, התכונה הופכת את הופעת הבכורה עם Windows Vista והיא נועדה למנוע התקפות של שימוש חוזר בקוד. ההתקפות נמנעות על ידי טעינת מודולי הפעלה בכתובות שאינן ניתנות לחיזוי ובכך מקלות על התקפות שבדרך כלל תלויות בקוד המוצב במיקומים צפויים. ASLR הוא מכוון כדי להילחם בטכניקות לנצל כמו תכנות מוכווני החזר אשר מסתמכים על קוד זה נטען בדרך כלל למיקום צפוי. כי מלבד אחד החסרונות העיקריים של ASLR זה צריך להיות מקושר עם / DYNAMICBASE דגל.

היקף השימוש

ASLR הציע הגנה על היישום, אבל זה לא לכסות את ההקלות במערכת כולה. למעשה, מסיבה זו Microsoft EMET שוחרר. EMET הבטיחה כי היא מכוסה הן על ידי המערכת והן על יישומים ספציפיים. EMET בסופו של דבר כמו הפנים של הקלה במערכת כולה על ידי מתן חזיתי עבור המשתמשים. עם זאת, החל מ- Windows 10 Fall Creators Update, תכונות ה- EMET הוחלפו ב- Windows Defender Exploit Guard.

ה- ASLR יכול להיות מופעל באופן כפוי הן עבור EMET והן עבור Windows Defender Exploit Guard עבור קודים שאינם מקושרים לדגל DYNAMICBASE וזה יכול להיות מיושם גם על בסיס לכל יישום או בסיס המערכת כולה. משמעות הדבר היא כי Windows יהיה באופן אוטומטי להעביר קוד לטבלה רילוקיישן זמנית ולכן המיקום החדש של הקוד יהיה שונה עבור כל אתחול מחדש. החל מ- Windows 8, השינויים בעיצוב המנדט כי ASLR רחב המערכת צריכה להיות מערכת ASLR רחב מלמעלה למטה מופעל על מנת לספק אנטרופיה ASLR חובה.

הבעיה

ASLR הוא תמיד יעיל יותר כאשר האנטרופיה היא יותר. במונחים הרבה יותר פשוטים להגדיל את האנטרופיה מגדילה את מספר שטח החיפוש שצריך לחקור על ידי התוקף. עם זאת, שניהם, EMET ו- Windows Defender Exploit Guard מאפשרים את ASLR של המערכת כולה, מבלי לאפשר ל- ASLR לתחתית המערכת. כאשר זה קורה את התוכניות ללא / DYNMICBASE תקבלו relocated אבל בלי שום אנטרופיה. כפי שהסברנו קודם, היעדר האנטרופיה יקל על התוקפים, שכן התוכנית תאתחל את אותה כתובת בכל פעם.

בעיה זו משפיעה כעת על Windows 8, Windows 8.1 ו- Windows 10, אשר מופעלת בהם ASLR באמצעות Windows Defender לנצל את המשמר או. מאחר שהמעבר לכתובת הוא ללא DYNAMICBASE בטבע, הוא בדרך כלל דוחה את היתרון של ASLR.

מה יש למיקרוסופט לומר

Microsoft כבר מהירה, וכבר פרסמה הודעה. זה מה שהחברים במיקרוסופט אמרו,

"ההתנהגות של ASLR חובה CERT כי הוא ציין על ידי עיצוב ASLR עובד כמתוכנן. צוות WDEG בוחן את בעיית התצורה שמונעת הפעלת מערכת ASLR מלמעלה למטה, ופועלת לטפל בה בהתאם. בעיה זו אינה יוצרת סיכון נוסף שכן היא מתרחשת רק כאשר מנסים להחיל תצורה שאינה ברירת מחדל לגירסאות קיימות של Windows. גם אז, תנוחת אבטחה יעילה היא לא יותר גרוע ממה שסופק על ידי ברירת המחדל היא פשוטה לעקוף את הבעיה באמצעות השלבים המתוארים בהודעה זו "

הם מפורטים במיוחד את הדרכים לעקיפת הבעיה שיסייעו בהשגת הרמה הרצויה של ביטחון. ישנן שתי דרכים לעקיפת הבעיה עבור אלה המעוניינים לאפשר ASLR חובה ו- bottom-up אקראיות עבור תהליכים אשר EXE לא הצטרף ל- ASLR.

1] שמור את הבאים לתוך optin.reg ולייבא אותו כדי לאפשר ASLR חובה מלמטה למעלה אקראיזציה המערכת כולה.

Windows Registry Editor גרסה 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet שליטה מושב מנהל kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] הפעל ASLR חובה ואקראי מלמטה למעלה באמצעות תוכנית, תצורה ספציפית באמצעות WDEG או EMET.

Microsoft Microsoft - בעיה זו אינה יוצרת סיכון נוסף שכן היא מתרחשת רק כאשר מנסים להחיל תצורה שאינה ברירת מחדל לגירסאות קיימות של Windows.