Pelaksanaan Rakaman Layout Ruang Alamat pada Windows

Isi kandungan:

Video: Pelaksanaan Rakaman Layout Ruang Alamat pada Windows

Video: Pelaksanaan Rakaman Layout Ruang Alamat pada Windows
Video: Windows 7/8/10 - "Anda Tidak Memiliki Izin Untuk Mengakses" Memperbaiki Kesalahan 2024, Mac
Pelaksanaan Rakaman Layout Ruang Alamat pada Windows
Pelaksanaan Rakaman Layout Ruang Alamat pada Windows
Anonim

Para penyelidik keselamatan di CERT telah menyatakan bahawa Windows 10, Windows 8,1 dan Windows 8 gagal untuk rawak dengan betul setiap aplikasi jika ASLR wajib seluruh sistem diaktifkan melalui EMET atau Windows Defender Exploit Guard. Microsoft telah menjawab dengan mengatakan bahawa pelaksanaan Alamat Ruang Rangka Rawak (ASLR) pada Microsoft Windows berfungsi seperti yang dimaksudkan. Marilah kita lihat isu ini.

Image
Image

Apa itu ASLR

ASLR diperluas sebagai Alamat Peluang Ruang Rawak, ciri ini membuat debut dengan Windows Vista dan direka untuk mencegah serangan kod-semula. Serangan dihalang dengan memuatkan modul yang boleh dilaksanakan pada alamat yang tidak dapat diramalkan dengan itu mengurangkan serangan yang biasanya bergantung kepada kod yang diletakkan di lokasi yang dapat diprediksi. ASLR diperhalusi untuk memerangi teknik eksploitasi seperti pemrograman Berorientasikan Pemulangan yang bergantung kepada kod yang biasanya dimuatkan ke lokasi yang boleh diramal. Bahawa salah satu kelemahan utama ASLR adalah bahawa ia perlu dikaitkan dengan / DYNAMICBASE bendera.

Skop penggunaan

ASLR menawarkan perlindungan kepada aplikasi itu, tetapi ia tidak meliputi perlindungan menyeluruh sistem. Malah, ini adalah untuk sebab ini bahawa Microsoft EMET dibebaskan. EMET memastikan bahawa ia meliputi kedua-dua sistem dan mitigasi khusus aplikasi. EMET berakhir sebagai wajah pengurangan sistem dengan menawarkan front-end untuk pengguna. Walau bagaimanapun, bermula dari Windows 10 Fall Creators mengemas kini ciri EMET telah digantikan dengan Windows Defender Exploit Guard.

ASLR boleh dibolehkan untuk kedua-dua EMET, dan Windows Defender Exploit Guard untuk kod yang tidak dikaitkan dengan bendera / DYNAMICBASE dan ini boleh dilaksanakan sama ada secara per aplikasi atau pangkalan seluruh sistem. Apa ini bermakna bahawa Windows secara automatik akan memindahkan kod ke jadual penempatan sementara dan oleh itu lokasi baru kod itu akan berbeza untuk setiap reboot. Bermula dari Windows 8, perubahan reka bentuk memberi mandat bahawa ASLR seluruh sistem harus mempunyai ASLR bottom-up yang membolehkan sistem untuk membekalkan entropi kepada ASLR wajib.

Masalah

ASLR sentiasa lebih berkesan apabila entropi lebih banyak. Dalam istilah yang lebih sederhana, peningkatan entropi meningkatkan bilangan ruang carian yang perlu diterokai oleh penyerang. Walau bagaimanapun, kedua-duanya, EMET dan Windows Defender Exploit Guard membolehkan ASLR seluruh sistem tanpa mengaktifkan sistem bawah ASLR. Apabila ini berlaku, program tanpa / DYNMICBASE akan dipindahkan tetapi tanpa sebarang entropi. Seperti yang telah kami jelaskan sebelumnya, ketiadaan entropi akan menjadikannya lebih mudah untuk penyerang sejak program itu akan menyambung semula alamat yang sama setiap kali.

Isu ini sedang menjejaskan Windows 8, Windows 8.1 dan Windows 10 yang mempunyai ASLR seluruh sistem yang dibolehkan melalui Windows Defender Exploit Guard atau EMET. Oleh kerana relokasi alamat tidak bersifat DYNAMICBASE, ia biasanya mengatasi kelebihan ASLR.

Apa yang dikatakan Microsoft

Microsoft telah cepat dan telah mengeluarkan kenyataan. Inilah yang dikatakan oleh orang ramai di Microsoft,

“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”

Mereka telah secara khusus memperincikan penyelesaian yang akan membantu dalam mencapai tahap keselamatan yang dikehendaki. Terdapat dua workarounds bagi mereka yang ingin membolehkan ASLR mandatori dan rawak bawah untuk proses yang EXE mereka tidak memilih masuk ke ASLR.

1] Simpan yang berikut ke dalam optin.reg dan importnya untuk membolehkan ASLR mandatori dan sistem rawak bottom-up.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Aktifkan ASLR wajib dan rawak bottom-up melalui konfigurasi khusus program menggunakan WDEG atau EMET.

Disyorkan: