Εφαρμογή της τυχαίας τοποθέτησης διάταξης διευθύνσεων στα Windows

Οι ερευνητές ασφαλείας της CERT δήλωσαν ότι τα Windows 10, τα Windows 8,1 και τα Windows 8 αποτυγχάνουν να τυχαιοποιήσουν σωστά κάθε εφαρμογή εάν ενεργοποιηθεί το υποχρεωτικό σύστημα ASLR σε επίπεδο συστήματος μέσω του EMET ή του Windows Defender Exploit Guard. Η Microsoft απάντησε λέγοντας ότι η υλοποίηση της Τακτοποίηση διαμόρφωσης χώρου διευθύνσεων (ASLR) στα Microsoft Windows λειτουργεί όπως επιδιώκεται. Ας ρίξουμε μια ματιά στο θέμα

Τι είναι το ASLR

Το ASLR επεκτείνεται ως Randomisation Layout Layout, το χαρακτηριστικό έκανε ένα ντεμπούτο με τα Windows Vista και έχει σχεδιαστεί για να αποτρέπει τις επιθέσεις επαναχρησιμοποίησης κώδικα. Οι επιθέσεις εμποδίζονται από τη φόρτωση εκτελέσιμων ενοτήτων σε μη προβλέψιμες διευθύνσεις, περιορίζοντας έτσι τις επιθέσεις που συνήθως εξαρτώνται από τον κώδικα που τοποθετείται σε προβλέψιμες τοποθεσίες. Το ASLR προσαρμόζεται με ακρίβεια για να καταπολεμήσει τις τεχνικές εκμετάλλευσης όπως ο προγραμματισμός επιστροφής που βασίζεται σε κώδικα που γενικά φορτώνεται σε μια προβλεπτή θέση. Αυτό εκτός από ένα από τα σημαντικότερα μειονεκτήματα της ASLR είναι ότι πρέπει να συνδεθεί με τη σημαία / DYNAMICBASE.

Πεδίο εφαρμογής

Η ASLR προσέφερε προστασία στην εφαρμογή, αλλά δεν κάλυψη των μετριασμών σε επίπεδο συστήματος. Στην πραγματικότητα, για αυτό το λόγο απελευθερώθηκε η Microsoft EMET. Το EMET διασφάλισε ότι κάλυπτε τόσο μετριασμούς σε επίπεδο συστήματος όσο και εφαρμογές. Το EMET κατέληξε ως το όριο των μετριασμών σε ολόκληρο το σύστημα προσφέροντας ένα front-end για τους χρήστες. Ωστόσο, ξεκινώντας από την ενημέρωση των Windows 10 Fall Creators, οι λειτουργίες EMET έχουν αντικατασταθεί με το Windows Defender Exploit Guard.

Το ASLR μπορεί να ενεργοποιηθεί υποχρεωτικά τόσο για το EMET όσο και για το Windows Defender Exploit Guard για κωδικούς που δεν συνδέονται με το / DYNAMICBASE flag και αυτό μπορεί να εφαρμοστεί είτε σε βάση ανά αίτηση είτε σε βάση συστήματος. Αυτό σημαίνει ότι τα Windows θα μεταφέρουν αυτόματα τον κώδικα σε έναν προσωρινό πίνακα μετεγκατάστασης και έτσι η νέα θέση του κώδικα θα είναι διαφορετική για κάθε επανεκκίνηση. Ξεκινώντας από τα Windows 8, οι σχεδιαστικές αλλαγές επέβαλαν ότι η ASLR σε όλο το σύστημα θα έπρεπε να έχει ενεργοποιημένη την ASLR από κάτω προς τα πάνω για να παρέχει εντροπία στην υποχρεωτική ASLR.

Το Πρόβλημα

ASLR είναι πάντα πιο αποτελεσματικό όταν η εντροπία είναι περισσότερο. Με πολύ απλούστερους όρους, η αύξηση της εντροπίας αυξάνει τον αριθμό του χώρου αναζήτησης που πρέπει να διερευνηθεί από τον εισβολέα. Ωστόσο, και οι δύο, το EMET και το Windows Defender Exploit Guard επιτρέπουν την ASLR σε επίπεδο συστήματος χωρίς να επιτρέπουν την εκκίνηση ASLR από κάτω προς τα πάνω. Όταν συμβεί αυτό, τα προγράμματα χωρίς / DYNMICBASE θα μετεγκατασταθούν αλλά χωρίς καμία εντροπία. Όπως εξηγήσαμε προηγουμένως, η απουσία entropy θα το καθιστούσε σχετικά πιο εύκολο για τους επιτιθέμενους, αφού το πρόγραμμα θα επανεκκινήσει την ίδια διεύθυνση κάθε φορά.

Αυτό το ζήτημα επηρεάζει επί του παρόντος τα Windows 8, τα Windows 8.1 και τα Windows 10 τα οποία έχουν ενεργοποιημένη σε ASLR μέσω του Windows Defender Exploit Guard ή του EMET. Δεδομένου ότι η μεταφορά διευθύνσεων είναι μη χαρακτήρα DYNAMICBASE, συνήθως υπερισχύει το πλεονέκτημα της ASLR.

Αυτό που η Microsoft έχει να πει

Η Microsoft ήταν γρήγορη και έχει ήδη εκδώσει μια δήλωση. Αυτό είναι που λένε οι άνθρωποι της Microsoft,

"Η συμπεριφορά του υποχρεωτικού ASLR που παρατηρείται από το CERT είναι σχεδιασμένη και η ASLR λειτουργεί όπως επιδιώκεται. Η ομάδα του WDEG διερευνά το ζήτημα της διαμόρφωσης που εμποδίζει την ενεργοποίηση του ASLR από κάτω προς τα πάνω και προσπαθεί να το αντιμετωπίσει αναλόγως. Αυτό το ζήτημα δεν δημιουργεί πρόσθετο κίνδυνο, καθώς συμβαίνει μόνο όταν επιχειρείτε να εφαρμόσετε μια μη προεπιλεγμένη ρύθμιση παραμέτρων σε υπάρχουσες εκδόσεις των Windows. Ακόμα και τότε, η πραγματική στάση ασφαλείας δεν είναι χειρότερη από ό, τι παρέχεται από προεπιλογή και είναι εύκολο να αντιμετωπιστεί το ζήτημα μέσω των βημάτων που περιγράφονται σε αυτή την ανάρτηση "

Έχουν εξειδικευτεί λεπτομερώς οι λύσεις που θα βοηθήσουν στην επίτευξη του επιθυμητού επιπέδου της ασφάλειας. Υπάρχουν δύο λύσεις για όσους επιθυμούν να ενεργοποιήσουν την υποχρεωτική ASLR και την εκ των υστέρων τυχαιοποίηση για διαδικασίες των οποίων η EXE δεν συμμετείχε στην ASLR

1] Αποθηκεύστε τα ακόλουθα στο optin.reg και εισαγάγετε το για να ενεργοποιήσετε την υποχρεωτική ASLR και την εκ των κάτω επιλογή τυχαιοποίησης σε όλο το σύστημα.

Επεξεργασία μητρώου των Windows Έκδοση 5.00 [= hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Ενεργοποιήστε την υποχρεωτική ASLR και την τυχαία εκ των κάτω προς τα άνω επιλογή μέσω προγράμματος- συγκεκριμένη ρύθμιση παραμέτρων χρησιμοποιώντας WDEG ή EMET

Said Microsoft - Αυτό το ζήτημα δεν δημιουργεί πρόσθετο κίνδυνο καθώς εμφανίζεται μόνο όταν επιχειρείτε να εφαρμόσετε μια μη προεπιλεγμένη διαμόρφωση σε υπάρχουσες εκδόσεις των Windows