Pozor: Windows nesprávně implementuje ASLR, oprava je k dispozici
Počínaje verzí Vista přichází Windows s randomizací rozvržení adresního prostoru (ASLR). ASLR je počítačová bezpečnostní technika, která zabraňuje zneužití zranitelností poškození paměti. Aby se zabránilo útočníkovi spolehlivě skočit například na konkrétní zneužitou funkci v paměti, ASLR náhodně uspořádá pozice adresního prostoru klíčových datových oblastí procesu, včetně báze spustitelného souboru a pozic zásobníku, haldy a knihovny. Ve Windows 8 a vyšších je chyba, kvůli které je tato technika zbytečná, ale můžete ji opravit.
Funkce ASLR (Address Space Layout Randomization) byla poprvé představena ve Windows Vista. Umožňuje zabránit útokům na opětovné použití kódu. ASLR poskytuje náhodnou paměťovou adresu pro spuštění kódu.
reklama
Ve Windows 8, Windows 8.1 a Windows 10 funkce ASLR nefunguje správně. Kvůli nesprávným výchozím nastavením konfigurace nepoužívá ASLR náhodné adresy paměti.
Aktualizace: Na Technetu je oficiální blogový příspěvek, který vysvětluje situaci. Přečtěte si to zde:
Objasnění chování povinných ASLR.V příspěvku se píše:
Problém s konfigurací nepředstavuje zranitelnost, nevytváří další riziko a neoslabuje stávající bezpečnostní pozici aplikací.
Příspěvek na CERT podrobně vysvětluje problematiku.
Jak EMET, tak Windows Defender Exploit Guard umožňují celosystémové ASLR, aniž by zároveň umožňovaly celosystémové ASLR zdola nahoru. Přestože Windows Defender Exploit guard má celosystémovou možnost pro systém zdola nahoru ASLR v celém systému, výchozí hodnota grafického rozhraní „Ve výchozím nastavení zapnuto“ neodráží základní hodnotu registru (nenastaveno). To způsobí, že programy bez /DYNAMICBASE budou přemístěny, ale bez jakékoli entropie. Výsledkem toho je, že takové programy budou přemístěny, ale pokaždé na stejnou adresu při restartu a dokonce i napříč různými systémy.
Naštěstí je snadné problém vyřešit.
Oprava ASLR ve Windows 8, Windows 8.1 a Windows 10
- Otevři Aplikace Editor registru.
- Přejděte na následující klíč registru.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Podívejte se, jak přejít na klíč registru jedním kliknutím.
- Vpravo vytvořte novou hodnotu REG_BINARY s názvem MitigationOptions a nastavte její data hodnoty na
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Aby se změny provedené úpravou registru projevily, restartujte Windows 10.
Chcete-li ušetřit čas, můžete si stáhnout následující vylepšení registru:
Stáhněte si Registry Tweak
A je to.
