2024 Pengarang: Peter John Melton | [email protected]. Diubah suai terakhir: 2024-01-09 10:19
Para penyelidik keselamatan di CERT telah menyatakan bahawa Windows 10, Windows 8,1 dan Windows 8 gagal untuk rawak dengan betul setiap aplikasi jika ASLR wajib seluruh sistem diaktifkan melalui EMET atau Windows Defender Exploit Guard. Microsoft telah menjawab dengan mengatakan bahawa pelaksanaan Alamat Ruang Rangka Rawak (ASLR) pada Microsoft Windows berfungsi seperti yang dimaksudkan. Marilah kita lihat isu ini.
Apa itu ASLR
ASLR diperluas sebagai Alamat Peluang Ruang Rawak, ciri ini membuat debut dengan Windows Vista dan direka untuk mencegah serangan kod-semula. Serangan dihalang dengan memuatkan modul yang boleh dilaksanakan pada alamat yang tidak dapat diramalkan dengan itu mengurangkan serangan yang biasanya bergantung kepada kod yang diletakkan di lokasi yang dapat diprediksi. ASLR diperhalusi untuk memerangi teknik eksploitasi seperti pemrograman Berorientasikan Pemulangan yang bergantung kepada kod yang biasanya dimuatkan ke lokasi yang boleh diramal. Bahawa salah satu kelemahan utama ASLR adalah bahawa ia perlu dikaitkan dengan / DYNAMICBASE bendera.
Skop penggunaan
ASLR menawarkan perlindungan kepada aplikasi itu, tetapi ia tidak meliputi perlindungan menyeluruh sistem. Malah, ini adalah untuk sebab ini bahawa Microsoft EMET dibebaskan. EMET memastikan bahawa ia meliputi kedua-dua sistem dan mitigasi khusus aplikasi. EMET berakhir sebagai wajah pengurangan sistem dengan menawarkan front-end untuk pengguna. Walau bagaimanapun, bermula dari Windows 10 Fall Creators mengemas kini ciri EMET telah digantikan dengan Windows Defender Exploit Guard.
ASLR boleh dibolehkan untuk kedua-dua EMET, dan Windows Defender Exploit Guard untuk kod yang tidak dikaitkan dengan bendera / DYNAMICBASE dan ini boleh dilaksanakan sama ada secara per aplikasi atau pangkalan seluruh sistem. Apa ini bermakna bahawa Windows secara automatik akan memindahkan kod ke jadual penempatan sementara dan oleh itu lokasi baru kod itu akan berbeza untuk setiap reboot. Bermula dari Windows 8, perubahan reka bentuk memberi mandat bahawa ASLR seluruh sistem harus mempunyai ASLR bottom-up yang membolehkan sistem untuk membekalkan entropi kepada ASLR wajib.
Masalah
ASLR sentiasa lebih berkesan apabila entropi lebih banyak. Dalam istilah yang lebih sederhana, peningkatan entropi meningkatkan bilangan ruang carian yang perlu diterokai oleh penyerang. Walau bagaimanapun, kedua-duanya, EMET dan Windows Defender Exploit Guard membolehkan ASLR seluruh sistem tanpa mengaktifkan sistem bawah ASLR. Apabila ini berlaku, program tanpa / DYNMICBASE akan dipindahkan tetapi tanpa sebarang entropi. Seperti yang telah kami jelaskan sebelumnya, ketiadaan entropi akan menjadikannya lebih mudah untuk penyerang sejak program itu akan menyambung semula alamat yang sama setiap kali.
Isu ini sedang menjejaskan Windows 8, Windows 8.1 dan Windows 10 yang mempunyai ASLR seluruh sistem yang dibolehkan melalui Windows Defender Exploit Guard atau EMET. Oleh kerana relokasi alamat tidak bersifat DYNAMICBASE, ia biasanya mengatasi kelebihan ASLR.
Apa yang dikatakan Microsoft
Microsoft telah cepat dan telah mengeluarkan kenyataan. Inilah yang dikatakan oleh orang ramai di Microsoft,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Mereka telah secara khusus memperincikan penyelesaian yang akan membantu dalam mencapai tahap keselamatan yang dikehendaki. Terdapat dua workarounds bagi mereka yang ingin membolehkan ASLR mandatori dan rawak bawah untuk proses yang EXE mereka tidak memilih masuk ke ASLR.
1] Simpan yang berikut ke dalam optin.reg dan importnya untuk membolehkan ASLR mandatori dan sistem rawak bottom-up.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Aktifkan ASLR wajib dan rawak bottom-up melalui konfigurasi khusus program menggunakan WDEG atau EMET.
Disyorkan:
Alamat Alamat Firefox dengan CyberSearch
Mencari cara untuk memasang Firefox Address Bar dengan carian berasaskan kata kunci yang khusus (dan disesuaikan)? Kemudian anda pasti perlu melihat CyberSearch dengan baik.
Cara Cari Alamat IP, Alamat MAC, dan Rangkaian Sambungan Rangkaian Lain-lain
Setiap peranti komputer-komputer, telefon pintar, tablet, alat rumah pintar dan banyak lagi-mempunyai alamat IP dan alamat MAC unik yang mengenal pasti pada rangkaian anda. Berikut ialah cara untuk mencari maklumat itu pada semua peranti yang mungkin anda hadapi.
Alamat e-mel masking Vs Menggunakan alamat e-mel sementara
Apakah Masking E-mel? Menggunakan e-mel sementara atau dengan meletakan alamat e-mel anda, anda boleh melawan spam dan melindungi privasi anda dalam talian. Artikel itu menerangkan manfaatnya.
Bagaimana untuk mengetahui alamat IP di Windows: Lookup Alamat IP
Apakah alamat IP saya? Bagaimana untuk mengetahui alamat IP? Pengguna Windows 10/8/7 dapat mengetahui alamat IP mereka, dengan mengakses panel kawalan.
Kemas kini Windows Ruang cakera tidak cukup - Masalah ruang simpanan rendah
Apabila menjalankan Windows Update jika anda menghadapi masalah ruang penyimpanan yang rendah, itu bermakna tidak terdapat ruang cakera yang cukup pada pemacu yang dipasang Windows 10. Inilah penyelesaiannya.