Исследователи безопасности в CERT заявили, что Windows 10, Windows 8,1 и Windows 8 не могут правильно рандомизировать каждое приложение, если общесистемная обязательная ASLR включена через EMET или Защитник Windows Defender. Microsoft ответила, что реализация Рандомизация пространственного расположения адреса (ASLR) в Microsoft Windows работает по назначению. Давайте рассмотрим этот вопрос.
Что такое ASLR
ASLR расширяется как рандомизация макета адресного пространства, эта функция дебютировала с Windows Vista и предназначена для предотвращения атак с использованием кода. Атаки предотвращаются путем загрузки исполняемых модулей на непредсказуемые адреса, тем самым уменьшая атаки, которые обычно зависят от кода, размещенного в предсказуемых местах. ASLR отлично настроена для борьбы с такими методами эксплойтов, как ориентированное на возврат программирование, которое полагается на код, который обычно загружается в предсказуемое местоположение. Это, помимо одного из основных недостатков ASLR, заключается в том, что его необходимо связать с / DYNAMICBASE флаг.
Сфера применения
ASLR предложила защиту приложения, но не охватила общесистемные смягчения. Фактически, именно по этой причине Microsoft EMET была выпущена. EMET обеспечила, чтобы он охватывал как общесистемные, так и прикладные смягчения. EMET оказался лицом к общесистемным смягчениям, предлагая интерфейс для пользователей. Однако, начиная с обновления Windows 10 Fall Creators, функции EMET были заменены Защитником Windows Defender Exploit Guard.
ASLR можно принудительно активировать как для EMET, так и для Защитника Windows Defender Exploit Guard для кодов, которые не связаны с флагом / DYNAMICBASE, и это может быть реализовано либо для каждого приложения, либо для всей системы. Это означает, что Windows автоматически переместит код во временную таблицу перемещения и, следовательно, новое расположение кода будет отличаться для каждой перезагрузки. Начиная с Windows 8, изменения в дизайне предусматривают, что общесистемная ASLR должна иметь общесистемную восходящую ASLR, чтобы обеспечить энтропию обязательной ASLR.
Эта проблема
ASLR всегда более эффективна, когда энтропия больше. В гораздо более простых терминах увеличение энтропии увеличивает количество поисковых пространств, которые должен быть исследован злоумышленником. Тем не менее, как EMET, так и защитник Windows Defender Guard поддерживают системную ASLR без включения системного восходящего ASLR. Когда это произойдет, программы без / DYNMICBASE будут перемещены, но без энтропии. Как мы объясняли ранее, отсутствие энтропии сделает их относительно более легкими для злоумышленников, так как программа будет перезагружать один и тот же адрес каждый раз.
Эта проблема в настоящее время затрагивает Windows 8, Windows 8.1 и Windows 10, которые имеют общесистемную ASLR, включенную через Защитник Windows Defender Guard или EMET. Поскольку переадресация адреса не зависит от DYNAMICBASE, она обычно переопределяет преимущество ASLR.
Что Microsoft должна сказать
Microsoft была быстрой и уже выпустила заявление. Это то, что люди в Microsoft должны были сказать,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Они специально описали обходные пути, которые помогут достичь желаемого уровня безопасности. Существует два метода обхода для тех, кто хотел бы включить обязательную ASLR и рандомизацию снизу вверх для процессов, EXE которых не входила в ASLR.
1] Сохраните следующее в optin.reg и импортируйте его, чтобы включить обязательную ASLR и рандомизацию снизу вверх по всей системе.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Включить обязательную ASLR и рандомизацию снизу вверх с помощью специфичной для программы конфигурации с использованием WDEG или EMET.
