Pagpapatupad ng Randomization ng Layout ng Address Space sa Windows

Address Space Layout Randomization (ASLR) sa Microsoft Windows ay gumagana ayon sa nilalayon. Tingnan natin ang isyu. Ano ang ASLR

ASLR ay pinalawak bilang Address Layout ng Space ng Randomisation, ang tampok na ginawa ng debut sa Windows Vista at idinisenyo upang maiwasan ang pag-atake ng code na muli. Ang mga pag-atake ay pinipigilan sa pamamagitan ng paglo-load ng mga executable module sa di-predictable address kaya pagbabawas ng mga pag-atake na karaniwang nakasalalay sa code na nakalagay sa predictable na mga lokasyon. Ang ASLR ay pinagsama-sama upang labanan ang mga pamamaraan sa pagsasamantala tulad ng Return-oriented programming na umaasa sa code na karaniwang na-load sa isang predictable na lokasyon. Ang bukod sa isa sa mga pangunahing mga downsides ng ASLR ay na kailangang maugnay sa

/ DYNAMICBASE na bandila. Saklaw ng paggamit

Nagbigay ang ASLR ng proteksyon sa application, ngunit hindi ito takpan ang mga mitigations sa buong sistema. Sa katunayan, para sa kadahilanang ito ay inilabas ang Microsoft EMET. Tinitiyak ng EMET na sakop nito ang parehong mga system-wide at application-specific mitigations. Ang EMET ay natapos na bilang ang mukha ng mga mitigations ng system sa pamamagitan ng pag-aalok ng isang front-end para sa mga gumagamit. Gayunpaman, simula sa pag-update ng Windows 10 Fall Creators ang mga tampok ng EMET ay pinalitan ng Windows Defender Exploit Guard.

Ang ASLR ay maaaring pinagana nang sapilitang para sa parehong EMET, at Windows Defender Exploit Guard para sa mga code na hindi naka-link sa / DYNAMICBASE flag at ito ay maaaring ipatupad alinman sa isang per-application na batayan o isang sistema-wide base. Ang ibig sabihin nito ay ang Windows ay awtomatikong maglipat ng code sa pansamantalang relocation table at sa gayon ang bagong lokasyon ng code ay naiiba para sa bawat reboot. Simula mula sa Windows 8, ang mga pagbabago sa disenyo ay nag-utos na ang sistema ng malawak na ASLR ay dapat magkaroon ng system-wide bottom-up na ASLR upang magamit ang entropy sa sapilitan na ASLR.

Ang Problem

ASLR ay laging mas epektibo kapag ang entropy ay higit pa. Sa mas simpleng termino na pagtaas sa entropy pinatataas ang bilang ng espasyo ng paghahanap na kailangang ma-ginalugad ng magsasalakay. Gayunpaman, kapwa, ang EMET at Windows Defender Exploit Guard ay nagbibigay-daan sa system-wide ASLR na walang pagpapagana sa ilalim ng sistema sa ilalim ng ASLR. Kapag nangyari ito ang mga program na walang / DYNMICBASE ay makakakuha ng relokado ngunit walang anumang entropy. Tulad ng ipinaliwanag namin nang mas maaga ang kawalan ng entropy ay magiging mas madali para sa mga attackers dahil ang reboot ng programa ay magkakaroon ng parehong address sa bawat oras.

Ang isyu na ito ay kasalukuyang nakakaapekto sa Windows 8, Windows 8.1 at Windows 10 na may isang system-wide na pinagana ng ASLR sa pamamagitan ng Windows Defender Exploit Guard o EMET. Dahil ang address relocation ay di-DYNAMICBASE sa likas na katangian, ito ay karaniwang overrides ang bentahe ng ASLR.

Ano ang Microsoft ay upang sabihin

Microsoft ay mabilis at may na ibinigay ng isang pahayag. Ito ang sinabi ng mga tao sa Microsoft,

"Ang pag-uugali ng ipinag-uutos na ASLR na sinusunod ng CERT ay sa pamamagitan ng disenyo at ang ASLR ay nagtatrabaho bilang nilayon. Sinisiyasat ng pangkat ng WDEG ang isyu sa pagsasaayos na pumipigil sa pagpasok ng system-wide ng bottom-up ASLR at nagtatrabaho upang tugunan ito nang naaayon. Ang isyu na ito ay hindi lumikha ng karagdagang peligro dahil ito ay nangyayari lamang kapag sinusubukang mag-aplay ng isang di-default configuration sa umiiral na mga bersyon ng Windows. Gayunman, ang epektibong postura ng seguridad ay hindi mas masahol pa kaysa sa kung ano ang ibinigay sa pamamagitan ng default at ito ay diretso upang gumana sa paligid ng isyu sa pamamagitan ng mga hakbang na inilarawan sa post na ito "

Sila ay partikular na detalyadong ang workarounds na makakatulong sa pagkamit ng ninanais na antas ng seguridad. Mayroong dalawang mga workaround para sa mga nais upang paganahin ang sapilitan ASLR at ilalim-up randomization para sa mga proseso na ang EXE ay hindi nag-opt-in sa ASLR.

1] I-save ang mga sumusunod sa optin.reg at i-import ito upang paganahin ang ipinag-uutos na ASLR at ilalim-up na sistema ng randomization.

Bersyon ng Windows Registry Editor 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Paganahin ang ipinag-uutos na ASLR at ilalim-up randomization sa pamamagitan ng program- tiyak na pagsasaayos gamit ang WDEG o EMET.

Said ng Microsoft - Ang isyu na ito ay hindi lumikha ng karagdagang panganib dahil ito ay nangyayari lamang kapag sinusubukang mag-aplay ng isang di-default configuration sa mga umiiral na mga bersyon ng Windows.