Implementatie van willekeurige indeling van adresruimte-indeling op Windows

Beveiligingsonderzoekers bij CERT hebben verklaard dat Windows 10, Windows 8,1 en Windows 8 elke toepassing niet willekeurig sorteren als de verplichte ASLR voor het hele systeem is ingeschakeld via EMET of Windows Defender Exploit Guard. Microsoft reageerde door te zeggen dat de implementatie van Address Space Layout Randomization (ASLR) op Microsoft Windows werkt zoals bedoeld. Laten we het probleem eens bekijken.

Wat is ASLR

ASLR is uitgebreid met Random Selection van adresruimtelay-out, de functie maakte een debuut met Windows Vista en is ontworpen om hergebruik van code te voorkomen. De aanvallen worden voorkomen door uitvoerbare modules te laden op niet-voorspelbare adressen en zo aanvallen te beperken die meestal afhankelijk zijn van code die op voorspelbare locaties wordt geplaatst. ASLR is nauwkeurig afgesteld om exploit-technieken zoals Return-georiënteerd programmeren te bestrijden, die afhankelijk zijn van code die over het algemeen op een voorspelbare locatie wordt geladen. Dat een van de belangrijkste nadelen van de ASLR is dat het moet worden gekoppeld aan de / DYNAMICBASE -markering.

Toepassingsbereik

De ASLR bood bescherming aan de applicatie, maar deze deed het niet behandel de systeembrede mitigaties. In feite is het om deze reden dat Microsoft EMET is vrijgegeven. EMET zorgde ervoor dat het zowel systeembrede als applicatiespecifieke mitigaties omvatte. Het EMET eindigde als het gezicht van systeembrede mitigaties door een front-end aan te bieden voor de gebruikers. Vanaf de Windows 10 Fall Creators-update zijn de EMET-functies vervangen door Windows Defender Exploit Guard.

De ASLR kan verplicht worden ingeschakeld voor zowel EMET als Windows Defender Exploit Guard voor codes die niet zijn gekoppeld aan / DYNAMICBASE-vlag en dit kan per applicatie of systeembasis worden geïmplementeerd. Dit betekent dat Windows de code automatisch verplaatst naar een tijdelijke relocation-tabel en dat de nieuwe locatie van de code anders zal zijn voor elke reboot. Uitgaande van Windows 8, verandert het ontwerp in opdracht dat de systeembrede ASLR systeembodem ASLR van boven moet hebben ingeschakeld om entropie te leveren aan de verplichte ASLR.

Het probleem

ASLR is altijd effectiever als de entropie is meer. In veel eenvoudigere termen verhoogt toename van entropie het aantal zoekruimte dat door de aanvaller moet worden verkend. Beide, EMET en Windows Defender Exploit Guard maken echter systeembrede ASLR mogelijk zonder systeembrede bottom-up ASLR mogelijk te maken. Wanneer dit gebeurt, worden de programma`s zonder / DYNMICBASE verplaatst, maar zonder enige entropie. Zoals we eerder hebben uitgelegd, zou de afwezigheid van entropie het voor aanvallers relatief gemakkelijker maken, omdat het programma elke keer hetzelfde adres opnieuw start.

Dit probleem is momenteel van invloed op Windows 8, Windows 8.1 en Windows 10 met een systeembrede ASLR ingeschakeld via Windows Defender Exploit Guard of EMET. Aangezien de verhuizing van het adres niet DYNAMICBASE is, wordt meestal het voordeel van ASLR genegeerd.

Wat Microsoft te zeggen heeft

Microsoft is snel geweest en heeft al een verklaring uitgegeven. Dit is wat de mensen bij Microsoft te zeggen hadden,

"Het gedrag van verplichte ASLR dat CERT observeerde is van ontwerp en ASLR werkt zoals bedoeld. Het WDEG-team onderzoekt het configuratieprobleem dat de volledige activering van bottom-up ASLR in het hele systeem voorkomt en werkt eraan om het dienovereenkomstig aan te pakken. Dit probleem veroorzaakt geen extra risico, omdat dit probleem alleen optreedt bij pogingen om een ​​niet-standaardconfiguratie toe te passen op bestaande versies van Windows. Zelfs dan is de effectieve beveiligingshouding niet slechter dan wat standaard wordt geboden en is het eenvoudig om het probleem te omzeilen via de stappen die in dit bericht worden beschreven. "

Ze hebben specifiek de tijdelijke oplossingen beschreven die zullen helpen bij het bereiken van het gewenste niveau van veiligheid. Er zijn twee oplossingen voor degenen die verplichte ASLR en bottom-up randomisatie willen inschakelen voor processen waarvan EXE zich niet heeft aangemeld voor ASLR.

1] Sla het volgende op in optin.reg en importeer het om verplichte ASLR en bottom-up randomisatie voor het hele systeem in te schakelen.

Windows Register-editor versie 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Activeer verplichte ASLR en bottom-up randomisatie via programma specifieke configuratie met behulp van WDEG of EMET.

Said Microsoft - Dit probleem veroorzaakt geen extra risico, omdat dit probleem alleen optreedt bij pogingen om een ​​niet-standaardconfiguratie toe te passen op bestaande Windows-versies.