Address Space Layout Randomization -ohjelman toteuttaminen Windowsissa

CERT: n turvallisuustieteilijät ovat todenneet, että Windows 10, Windows 8,1 ja Windows 8 eivät oikein satunnaa kaikkia sovelluksia, jos järjestelmänlaajuinen pakollinen ASLR on käytössä EMETin tai Windows Defender Exploit Guardin kautta. Microsoft on vastannut sanomalla, että Microsoft Windowsin Address Space Layout Randomization (ASLR) toteutus toimii suunnitellulla tavalla. Tarkastelemme asiaa.

Mikä on ASLR

ASLR laajennetaan osoitekokoonpanon satunnaisotoksi, ominaisuus teki debyytti Windows Vistan kanssa ja on suunniteltu estämään koodien uudelleen käyttämisen hyökkäykset. Hyökkäykset estetään lataamalla suoritettavia moduuleja ennalta arvaamattomissa osoitteissa, mikä vähentää hyökkäyksiä, jotka yleensä riippuvat ennustettavissa olevista sijainneista. ASLR: n hienosäätöä torjutaan hyväksikäyttötekniikoita, kuten Return-suuntautunut ohjelmointi, joka perustuu koodiin, joka yleensä ladataan ennustettavaan paikkaan. ASLR: n yksi tärkeimmistä haittapuolista on se, että se on yhdistettävä / DYNAMICBASE -lippuun.

Käyttöalue

ASLR tarjosi suojaa sovellukselle, mutta se ei kattavat järjestelmän laajuiset lieventämiset. Itse asiassa tästä syystä Microsoft EMET julkaistiin. EMET varmisti, että se kattoi sekä järjestelmän laajuiset että sovelluskohtaiset lieventämiset. EMET päätyi järjestelmällisten lieventämisten edessä tarjoamalla etupään käyttäjille.

ASLR voidaan ottaa käyttöön pakollisesti sekä EMET: lle että Windows Defender Exploit Guardille koodeille, joita ei ole liitetty / DYNAMICBASE-lippuun ja tämä voidaan toteuttaa joko sovelluksen perusteella tai järjestelmän laajuisen tukikohdan perusteella. Tämä tarkoittaa sitä, että Windows siirtää koodin automaattisesti tilapäiseen uudelleensiirtotaulukkoon ja siten uusi koodin sijainti on erilainen jokaiselle uudelleenkäynnistykselle. Järjestelmällisestä ASLR: stä tulee järjestelmällinen alhaalta ylöspäin ASLR: n mahdollistama järjestelmäperäinen ASLR: n käyttöönotto, jotta se voisi syöttää entropian pakolliselle ASLR: lle.

Ongelma

ASLR on aina tehokkaampi, kun entropia on enemmän. Hyvin yksinkertaisissa termeissä entropian lisääntyminen lisää hakutilan määrää, jota hyökkääjän on tutkittava. Sekä EMET että Windows Defender Exploit Guard mahdollistavat järjestelmän laajuisen ASLR: n ilman järjestelmän koko alhaalta ylöspäin ASLR: tä. Kun näin tapahtuu, ohjelmat, joissa ei ole / DYNMICBASE, siirretään uudelleen ilman entropiaa. Kuten aiemmin selitettiin entropian puuttuessa, hyökkääjät olisivat suhteellisen helpommat, koska ohjelma käynnistää uudelleen saman osoitteen joka kerta.

Tämä ongelma vaikuttaa tällä hetkellä Windows 8: een, Windows 8.1: een ja Windows 10: een, joilla on järjestelmän laajuinen ASLR käytössä Windows Defender Exploit Guardin tai EMETin kautta. Koska osoitteen siirtäminen ei ole luonteeltaan DYNAMICBASE, se tyypillisesti ohittaa ASLR: n edut.

Microsoftin on sanottava

Microsoft on ollut nopea ja on jo antanut lausunnon. Tämä on mitä ihmiset Microsoftissa sanoivat,

"Pakollisen ASLR: n käyttäytyminen, jonka CERT havaitsi, on suunniteltu ja ASLR toimii suunnitellulla tavalla. WDEG-tiimi tutkii konfigurointikysymystä, joka estää alhaalta ylöspäin tulevan ASLR: n järjestelmän laajuisen käyttöönoton ja pyrkii käsittelemään sitä vastaavasti. Tämä ongelma ei aiheuta lisäriskiä, ​​koska se esiintyy vain yritettäessä soveltaa ei-oletusasetuksia nykyisiin Windows-versioihin. Silloinkin tehokas turvallisuusasenne ei ole huonompi kuin oletusarvoisesti, ja se on yksinkertaista käsitellä ongelmaa tässä vaiheessa kuvattujen vaiheiden avulla. "

He ovat nimenneet yksityiskohtaiset ratkaisut, jotka auttavat saavuttamaan halutun tason turvallisuudesta. On kaksi kiertotapaa niille, jotka haluavat ottaa käyttöön pakollisen ASLR- ja alhaalta ylöspäin satunnaisottamisen prosesseille, joiden EXE ei ole valinnut ASLR: ään.

1] Tallenna seuraavat tiedot optin.reg-tiedostoon ja tuoda se pakollisen ASLR- ja alhaalta ylöspäin satunnaistamisen järjestelmän käyttöön.

Windowsin rekisterinmuokkausversio 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "Mittamuutokset" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Ota käyttöön pakollinen ASLR-

Said Microsoft - Tämä ongelma ei aiheuta ylimääräistä riskiä, ​​koska se ilmenee vain, kun yrität soveltaa ei-oletusasetuksia olemassa oleviin Windows-versioihin.