A CERT biztonsági kutatói kijelentették, hogy a Windows 10, a Windows 8,1 és a Windows 8 rendszeresen nem rendszerezik az összes alkalmazást, ha az egész rendszerre kiterjedő kötelező ASLR az EMET vagy a Windows Defender Exploit Guard segítségével engedélyezett. A Microsoft válaszolt azzal, hogy a végrehajtását Cím térbeli elrendezés randomizálása (ASLR) a Microsoft Windows a kívánt módon működik. Vessünk egy pillantást a kérdésre.
Mi az ASLR
Az ASLR kiterjesztésre kerül a címtartomány elrendezésének véletlenszerűsítésével, a szolgáltatás a Windows Vista rendszerrel debütált, és a kód újrafelhasználásának megakadályozására szolgál. A támadások megakadályozzák a futtatható modulok betöltését nem kiszámítható címeken, ezáltal csökkentve a támadásokat, amelyek általában a kiszámítható helyeken elhelyezett kódoktól függenek. Az ASLR-t finomhangolják a kizsákmányoló technikák leküzdésére, mint a visszatérésorientált programozás, amely olyan kódra támaszkodik, amely általában kiszámítható helyre kerül. Az ASLR egyik legfontosabb hátránya, hogy összekapcsolható / DYNAMICBASE zászló.
Alkalmazási terület
Az ASLR védelmet nyújt az alkalmazáshoz, de nem terjedt ki az egész rendszerre kiterjedő enyhítésekre. Tény, hogy ezért a Microsoft EMET-ot kiadták. Az EMET biztosította, hogy mind az egész rendszerre kiterjedő, mind az alkalmazás-specifikus mérsékléseket lefedje. Az EMET az egész rendszerre kiterjedő enyhítések szembesülésével véget ért a felhasználók számára. Azonban a Windows 10 Fall Creators frissítésétől kezdve az EMET funkciókat felváltotta a Windows Defender Exploit Guard.
Az ASLR-t kötelezően engedélyezheti mind az EMET, mind a Windows Defender Exploit Guard számára azokhoz a kódokhoz, amelyek nem kapcsolódnak a / DYNAMICBASE zászlóhoz, és ez végrehajtható akár alkalmazásonként, akár egész rendszeren alapul. Ez azt jelenti, hogy a Windows automatikusan áthelyezi a kódot egy átmeneti áthelyezési táblába, és így a kód új helyszíne minden egyes újraindításkor eltérő lesz. A Windows 8-ból kiindulva a tervváltoztatások arra kötelezik, hogy a rendszer egészére kiterjedő ASLR-nek rendszerszintű alulról felfelé irányuló ASLR legyen engedélyezve annak érdekében, hogy a kötelező ASLR entrópiáját biztosítsa.
A probléma
Az ASLR mindig hatékonyabb, ha az entrópia több. A sokkal egyszerűbb módon az entrópia növekedése növeli a támadó által feltérképezett keresési területek számát. Az EMET és a Windows Defender Exploit Guard mindazonáltal lehetővé teszik a rendszer egészére kiterjedő ASLR rendszert, anélkül, hogy lehetővé válna az egész rendszerre kiterjedő alulról felfelé építkező ASLR. Ha ez megtörténik, a / DYNMICBASE nélküli programok áttelepülnek, de entrópia nélkül. Amint korábban kifejtettük, az entrópia hiánya viszonylag könnyebbé teszi a támadókat, mivel a program minden alkalommal újraindítja ugyanazt a címet.
Ez a probléma jelenleg a Windows 8, a Windows 8.1 és a Windows 10 rendszerekre vonatkozik, amelyek rendszergazdai ASLR-t használnak a Windows Defender Exploit Guard vagy az EMET segítségével. Mivel a cím áthelyezése természeténél fogva nem DYNAMICBASE, tipikusan felülbírálja az ASLR előnyeit.
Mit kell mondania a Microsoftnak?
A Microsoft már gyors volt, és már kiadott egy nyilatkozatot. Ez volt az, amit a Microsoftnak kellett mondania,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Pontosan kifejtették azokat a megoldásokat, amelyek segítenek a kívánt biztonsági szint elérésében. Két megoldás van azok számára, akik szeretnék engedélyezni a kötelező ASLR és az alulról felfelé történő randomizálást olyan folyamatok esetében, amelyeknél az EXE nem csatlakozott az ASLR-hez.
1] Mentsük el a következőket az optin.reg-be és importáljuk a kötelező ASLR és az alulról felfelé irányuló véletlenszerű rendszernek.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Engedélyezze a kötelező ASLR és az alulról felfelé irányuló véletlenszerű kiválasztást program-specifikus konfigurációval a WDEG vagy az EMET segítségével.
