Изследователите по сигурността в CERT заявиха, че Windows 10, Windows 8,1 и Windows 8 не успеят да направят правилно случайно всяко приложение, ако е активирана цялата ASLR система чрез EMET или Windows Defender Exploit Guard. Microsoft отговори, като каза, че изпълнението на Рандомизиране на пространствено оформление на адрес (ASLR) в Microsoft Windows работи по предназначение. Нека разгледаме въпроса.
Какво представлява ASLR?
ASLR се разширява като Randomization на Layout на пространство за адреси, което прави дебют с Windows Vista и има за цел да предотврати атаките за повторно използване на кода. Атаките се предотвратяват чрез зареждане на изпълними модули на непредвидими адреси, като по този начин се намаляват атаките, които обикновено зависят от код, поставен на предвидими места. ASLR е фино настроен за борба с техниките на експлоатиране като Return-ориентирано програмиране, които разчитат на код, който обикновено се зарежда в предсказуемо място. Това изключва една от основните недостатъци на ASLR е, че тя трябва да бъде свързана / DYNAMICBASE флаг.
Обхват на използване
ASLR предлага защита на заявлението, но не покрива смекчаването на цялата система. Всъщност, поради тази причина Microsoft EMET бе освободен. EMET гарантира, че обхваща както системните, така и специфичните за приложенията смекчавания. ЕМЕТ се превърна в лицето на смекчаващите се в цялата система мерки, като предложи предния край на потребителите. Въпреки това, като се започне от актуализацията на Windows 10 Fall Creators, характеристиките на EMET бяха заменени с Windows Defender Exploit Guard.
ASLR може да се активира задължително както за EMET, така и за Windows Defender Exploit Guard за кодове, които не са свързани с / DYNAMICBASE флаг и това може да бъде осъществено или на базата на база заявки, или на базата на цялата система. Това означава, че Windows автоматично ще пренасочи кода към временна таблица за преместване и по този начин новото местоположение на кода ще бъде различно за всеки рестартиране. Започвайки от Windows 8, промените в дизайна налагат, че системата ASLR за цялата система трябва да има активирана ASLR отдолу нагоре, за да осигури ентропията на задължителния ASLR.
Проблемът
ASLR винаги е по-ефективна, когато ентропията е повече. В много по-прости думи увеличаването на ентропията увеличава броя на търсеното пространство, което трябва да бъде проучено от нападателя. Въпреки това, EMET и Windows Defender Exploit Guard дават възможност за ASLR на цялата система, без да позволяват на системата ASLR отдолу нагоре. Когато това се случи, програмите без / DYNMICBASE ще бъдат преместени, но без ентропия. Както вече обяснихме, липсата на ентропия би направила относително по-лесна за атакуващите, тъй като програмата ще рестартира същия адрес всеки път.
Понастоящем този проблем засяга Windows 8, Windows 8.1 и Windows 10, които имат активирана ASLR за цялата система чрез Windows Defender Exploit Guard или EMET. Тъй като преместването на адреса не е DYNAMICBASE в природата, то обикновено превъзхожда предимството на ASLR.
Какво трябва да каже Microsoft
Microsoft е бърз и вече е издал изявление. Това е, което трябваше да кажат хората от Microsoft,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Те конкретизираха конкретните решения, които ще помогнат за постигането на желаното ниво на сигурност. Има две решения за тези, които биха искали да дадат възможност за задължително ASLR и отдолу-нагоре рандомизиране за процеси, чието EXE не се включи в ASLR.
1] Запишете следното в optin.reg и го импортирайте, за да активирате задължителната ASLR и отдолу нагоре система за рандомизиране.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Разрешаване на задължително ASLR и надолу-нагоре рандомизиране чрез специфична за програмата конфигурация чрез WDEG или EMET.
