Реализация рандомизации адресного пространства в Windows

Исследователи безопасности из CERT заявили, что Windows 10, Windows 8,1 и Windows 8 не могут должным образом рандомизировать каждое приложение, если общесистемный обязательный ASLR включен через EMET или Exploit Guard в Защитнике Windows. В ответ Microsoft сообщила, что реализация рандомизации разметки адресного пространства (ASLR) в Microsoft Windows работает по назначению. Давайте посмотрим на проблему.

Рандомизация разметки адресного пространства в Windows
Что такое ASLR

ASLR расширен как рандомизация адресного пространства, эта функция впервые появилась в Windows Vista и предназначена для предотвращения атак с повторным использованием кода. Атаки предотвращаются путем загрузки исполняемых модулей по непредсказуемым адресам, что снижает риск атак, которые обычно зависят от кода, размещенного в предсказуемых местах. ASLR настроен для борьбы с такими методами эксплойтов, как возвратно-ориентированное программирование, которые полагаются на код, который обычно загружается в предсказуемое место. Помимо этого, одним из основных недостатков ASLR является то, что его необходимо связать с / ДИНАМИЧЕСКАЯ БАЗА флаг.

Сфера использования

ASLR предлагал защиту приложению, но не охватывал общесистемные меры защиты. Собственно, именно по этой причине был выпущен Microsoft EMET. EMET гарантирует, что он охватывает как общесистемные, так и специфические для приложений меры. EMET стал лицом общесистемных средств защиты, предлагая интерфейс для пользователей. Однако, начиная с обновления Windows 10 Fall Creators, функции EMET были заменены на Exploit Guard в Защитнике Windows.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

ASLR можно включить принудительно как для EMET, так и для Exploit Guard в Защитнике Windows для кодов, которые не связаны с флагом / DYNAMICBASE, и это может быть реализовано либо для каждого приложения, либо для всей системы. Это означает, что Windows автоматически перемещает код во временную таблицу перемещения, и, таким образом, новое расположение кода будет другим при каждой перезагрузке. Начиная с Windows 8, изменения конструкции требовали, чтобы общесистемный ASLR имел общесистемный восходящий ASLR, чтобы обеспечить энтропию обязательному ASLR.

Эта проблема

ASLR всегда эффективнее, когда энтропия больше. Проще говоря, увеличение энтропии увеличивает количество пространства поиска, которое необходимо исследовать злоумышленнику. Однако и EMET, и Exploit Guard в Защитнике Windows включают общесистемную ASLR без включения общесистемной восходящей ASLR. Когда это произойдет, программы без / DYNMICBASE будут перемещены, но без какой-либо энтропии. Как мы объясняли ранее, отсутствие энтропии могло бы относительно облегчить задачу злоумышленников, поскольку программа каждый раз перезагружает один и тот же адрес.

Эта проблема в настоящее время затрагивает Windows 8, Windows 8.1 и Windows 10, в которых включена общесистемная ASLR с помощью Exploit Guard в Защитнике Windows или EMET. Поскольку перемещение адреса не является DYNAMICBASE по своей природе, оно обычно отменяет преимущество ASLR.

Что говорит Microsoft

Microsoft был быстрым и уже сделал заявление. Вот что сказали люди в Microsoft:

«Поведение обязательного ASLR, которое CERT наблюдал задумано, и ASLR работает должным образом. Команда WDEG исследует проблему конфигурации, которая препятствует общесистемному включению восходящего ASLR, и работает над ее решением. Эта проблема не создает дополнительного риска, поскольку возникает только при попытке применить нестандартную конфигурацию к существующим версиям Windows. Даже в этом случае эффективная система безопасности не хуже, чем то, что предусмотрено по умолчанию, и легко обойти проблему, выполнив действия, описанные в этом сообщении »

В них подробно описаны обходные пути, которые помогут в достижении желаемого уровня безопасности. Есть два обходных пути для тех, кто хотел бы включить обязательную ASLR и рандомизацию снизу вверх для процессов, EXE которых не включили ASLR.

1]Сохраните следующее в optin.reg и импортируйте его, чтобы включить обязательную ASLR и рандомизацию снизу вверх для всей системы.

Редактор реестра Windows версии 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]
«MitigationOptions» = шестнадцатеричный: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2]Включите обязательную ASLR и рандомизацию снизу вверх через программную конфигурацию с использованием WDEG или EMET.

Рандомизация разметки адресного пространства в Windows

Сказал Microsoft — эта проблема не создает дополнительного риска, поскольку возникает только при попытке применить нестандартную конфигурацию к существующим версиям Windows.

.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.