Gjennomføring av Randomisering av adresseplasslayout på Windows

Randomisering av adresseplasslayout (ASLR) på Microsoft Windows fungerer som ønsket. La oss ta en titt på spørsmålet. Hva er ASLR

ASLR er utvidet som Randomisering av adresseplasslayout, funksjonen gjorde en debut med Windows Vista og er designet for å forhindre angrep på nytt. Angrepene forhindres ved å laste kjørbare moduler på ikke-forutsigbare adresser, og dermed redusere angrep som vanligvis er avhengig av kode plassert på forutsigbare steder. ASLR er finjustert for å bekjempe utnytteteknikker som returorientert programmering som stole på kode som vanligvis lastes inn i en forutsigbar plassering. Det som er fra hverandre, er en av de store ulempene til ASLR at den må kobles til

/ DYNAMICBASE flagg. Anvendelsesområde

ASLR tilbød beskyttelse til applikasjonen, men det gjorde det ikke dekke hele systemet. Faktisk er det av denne grunn at Microsoft EMET ble utgitt. EMET sørget for at det dekket både system-wide og applikasjonsspesifikke begrensninger. EMET endte som et systemovergripende motvirkning ved å tilby en frontend for brukerne. Men fra starten av Windows 10 Fall Creators Update har EMET-funksjonene blitt erstattet med Windows Defender Exploit Guard.

ASLR-en kan aktiveres komplisert for både EMET og Windows Defender Exploit Guard for koder som ikke er koblet til / DYNAMICBASE flagg og dette kan implementeres enten på basis av en applikasjon eller en systembasert base. Hva dette betyr er at Windows automatisk vil flytte koden til et midlertidig flyttetabell, og dermed vil den nye plasseringen av koden være forskjellig for hver omstart. Utgangspunktet fra Windows 8 var at design-endringene innebar at system-wide ASLR skulle ha system-wide bottom-up ASLR aktivert for å kunne levere entropi til den obligatoriske ASLR.

Problemet

ASLR er alltid mer effektivt når entropien er mer. I mye enklere termer øker entropien antall søkemuligheter som må utforskes av angriperen. Imidlertid, både EMET og Windows Defender Exploit Guard muliggjør systembasert ASLR uten å muliggjøre systembasert underside ASLR. Når dette skjer, vil programmene uten / DYNMICBASE bli flyttet, men uten entropi. Som vi forklarte tidligere, ville fraværet av entropi gjøre det relativt lettere for angripere, siden programmet vil starte den samme adressen hver gang.

Dette problemet påvirker for tiden Windows 8, Windows 8.1 og Windows 10 som har en systembasert ASLR aktivert via Windows Defender Exploit Guard eller EMET. Siden adresseplasseringen er ikke-DYNAMICBASE-karakter, overstyrer den vanligvis fordelen av ASLR.

Hva Microsoft har å si

Microsoft har vært rask og har allerede utstedt en uttalelse. Dette er hva folkene i Microsoft måtte si,

"Oppførselen til obligatorisk ASLR som CERT observert er designet og ASLR fungerer som ønsket. WDEG-teamet undersøker konfigureringsproblemet som forhindrer systemgjennomføring av ASLR på bottom-up og arbeider for å adressere det tilsvarende. Dette problemet oppretter ikke ekstra risiko, da det bare oppstår når du prøver å bruke en ikke-standard konfigurasjon til eksisterende versjoner av Windows. Selv da er den effektive sikkerhetsstillingen ikke verre enn det som tilbys som standard, og det er greit å løse problemet gjennom trinnene som er beskrevet i dette innlegget "

De har spesifikt beskrevet de løsninger som vil bidra til å oppnå ønsket nivå av sikkerhet. Det er to løsninger for de som ønsker å aktivere obligatorisk ASLR og bottom-up randomisering for prosesser hvis EXE ikke var med i ASLR.

1] Lagre følgende i optin.reg og importer det for å aktivere obligatorisk ASLR og bottom-up randomisering hele systemet.

Windows Registry Editor Versjon 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kjerne] "MitigationOptions" = heks: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Aktiver obligatorisk ASLR og bottom-up randomisering via program- spesifikk konfigurasjon ved hjelp av WDEG eller EMET.

Sa Microsoft - Dette problemet oppretter ikke ekstra risiko som det bare oppstår når du prøver å bruke en ikke-standard konfigurasjon til eksisterende versjoner av Windows.