CERTin turvallisuustieteilijät ovat todenneet, että Windows 10, Windows 8,1 ja Windows 8 eivät oikein satunnaa kaikkia sovelluksia, jos järjestelmänlaajuinen pakollinen ASLR on käytössä EMETin tai Windows Defender Exploit Guardin kautta. Microsoft on vastannut sanomalla, että Osoitekoodin asettelun randomisointi (ASLR) Microsoft Windows toimii suunnitellulla tavalla. Katsokaamme asiaa.
Mikä on ASLR
ASLR laajennetaan osoitekokoonpanon satunnaisotoksi, ominaisuus teki debyytti Windows Vistan kanssa ja on suunniteltu estämään koodien uudelleen käyttämisen hyökkäykset. Hyökkäykset estetään lataamalla suoritettavia moduuleja ennalta arvaamattomissa osoitteissa, mikä vähentää hyökkäyksiä, jotka yleensä riippuvat ennustettavissa olevista sijainneista. ASLR: n hienosäätöä torjutaan hyväksikäyttötekniikoita, kuten Return-suuntautunut ohjelmointi, joka perustuu koodiin, joka yleensä ladataan ennustettavaan paikkaan. Sen lisäksi, että yksi ASLR: n tärkeimmistä haasteista on se, että se on yhdistettävä / DYNAMICBASE lippu.
Käyttöalue
ASLR tarjosi suojaa hakemukselle, mutta se ei kattanut järjestelmän laajuisia lievennyksiä. Itse asiassa tästä syystä Microsoft EMET julkaistiin. EMET varmisti, että se kattoi sekä järjestelmän laajuiset että sovelluskohtaiset lieventämiset. EMET päätyi järjestelmällisten lieventämisten edessä tarjoamalla etupään käyttäjille. Kuitenkin, alkaen Windows 10 Fall Creators -päivityksestä, EMET-ominaisuudet on korvattu Windows Defender Exploit Guardilla.
ASLR voidaan ottaa pakolliseksi sekä EMETille että Windows Defender Exploit Guardille sellaisille koodeille, joita ei ole liitetty / DYNAMICBASE-lippuun, ja tämä voidaan toteuttaa joko sovelluskohtaisesti tai järjestelmän laajuisen tukiaseman perusteella. Tämä tarkoittaa sitä, että Windows siirtää koodin automaattisesti tilapäiseen uudelleensiirtotaulukkoon ja siten uusi koodin sijainti on erilainen jokaiselle uudelleenkäynnistykselle. Windows 8: sta lähtien suunnittelumuutokset edellyttävät, että koko järjestelmän kattavasta ASLR: stä tulisi olla järjestelmällinen alhaalta ylöspäin asennettava ASLR, jotta entropia voitaisiin antaa pakolliselle ASLR: lle.
Ongelma
ASLR on aina tehokkaampi, kun entropia on enemmän. Hyvin yksinkertaisemmilla termeillä entropian lisääntyminen lisää hakutilan määrää, jota hyökkääjän on tutkittava. Sekä EMET että Windows Defender Exploit Guard mahdollistavat järjestelmän laajuisen ASLR: n ilman järjestelmän koko alhaalta ylöspäin ASLR: tä. Kun näin tapahtuu, ohjelmat, joissa ei ole / DYNMICBASE, siirretään uudelleen ilman entropiaa. Kuten aiemmin selitettiin, entropian puuttuminen tekisi suhteellisen helpommaksi hyökkääjille, koska ohjelma käynnistää uudelleen saman osoitteen joka kerta.
Tämä ongelma vaikuttaa tällä hetkellä Windows 8: een, Windows 8.1: een ja Windows 10: een, joilla on järjestelmänlaajuinen ASLR käytössä Windows Defender Exploit Guardin tai EMET: n kautta. Koska osoitteen siirtäminen ei ole luonteeltaan DYNAMICBASE, se tyypillisesti ohittaa ASLR: n edut.
Mitä Microsoftilla on sanottavaa
Microsoft on ollut nopea ja on jo antanut lausunnon. Tämä on mitä ihmiset Microsoftissa sanoivat,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
He ovat nimenomaan kertoneet kiertotavoista, jotka auttavat saavuttamaan halutun turvallisuustason. On kaksi kiertotapaa niille, jotka haluaisivat ottaa käyttöön pakollisen ASLR: n ja alhaalta ylöspäin tehdyn satunnaistamisen prosesseille, joiden EXE ei päässyt ASLR: ään.
1] Tallenna seuraava osaksi optin.reg ja tuoda se pakollisen ASLR: n ja alhaalta ylöspäin tapahtuvan satunnaistamisen järjestelmän laajuuden käyttöön.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Ota käyttöön pakollinen ASLR- ja alhaalta ylöspäin tapahtuva satunnaisohjelma ohjelmakohtaisella asetuksella WDEG: n tai EMET: n avulla.
