Προσοχή: Τα Windows εφαρμόζουν εσφαλμένα την ASLR, η επιδιόρθωση είναι διαθέσιμη
Ξεκινώντας με τα Vista, τα Windows διαθέτουν τυχαιοποίηση διάταξης χώρου διευθύνσεων (ASLR). Το ASLR είναι μια τεχνική ασφάλειας υπολογιστών που εμπλέκεται στην πρόληψη της εκμετάλλευσης των τρωτών σημείων καταστροφής της μνήμης. Προκειμένου να αποτρέψει έναν εισβολέα από το να μεταπηδήσει αξιόπιστα, για παράδειγμα, σε μια συγκεκριμένη λειτουργία στη μνήμη, η ASLR τακτοποιεί τυχαία το θέσεις του χώρου διευθύνσεων των βασικών περιοχών δεδομένων μιας διεργασίας, συμπεριλαμβανομένης της βάσης του εκτελέσιμου και των θέσεων της στοίβας, του σωρού και βιβλιοθήκες. Υπάρχει ένα σφάλμα στα Windows 8 και νεότερες εκδόσεις που καθιστά αυτήν την τεχνική άχρηστη, αλλά μπορείτε να τη διορθώσετε.
Η δυνατότητα ASLR (Address Space Layout Randomization) εισήχθη για πρώτη φορά στα Windows Vista. Επιτρέπει την αποτροπή επιθέσεων επαναχρησιμοποίησης κώδικα. Το ASLR παρέχει τυχαία διεύθυνση μνήμης για την εκτέλεση κώδικα.
Διαφήμιση
Στα Windows 8, Windows 8.1 και Windows 10 η δυνατότητα ASLR δεν λειτουργεί σωστά. Λόγω λανθασμένων προεπιλογών διαμόρφωσης, το ASLR δεν χρησιμοποιεί τυχαίες διευθύνσεις μνήμης.
Ενημέρωση: Υπάρχει μια επίσημη ανάρτηση ιστολογίου στο Technet που εξηγεί τη λύση. Διαβάστε το εδώ: Διευκρίνιση της συμπεριφοράς της υποχρεωτικής ASLR.
Η ανάρτηση λέει:
Το ζήτημα της διαμόρφωσης δεν είναι ευπάθεια, δεν δημιουργεί πρόσθετο κίνδυνο και δεν αποδυναμώνει την υπάρχουσα θέση ασφαλείας των εφαρμογών.
Μια ανάρτηση στο CERT εξηγεί το θέμα αναλυτικά.
Τόσο το EMET όσο και το Windows Defender Exploit Guard ενεργοποιούν το ASLR σε όλο το σύστημα χωρίς επίσης να ενεργοποιούν το ASLR από κάτω προς τα πάνω σε όλο το σύστημα. Αν και το Windows Defender Exploit guard έχει μια επιλογή σε όλο το σύστημα για από κάτω προς τα πάνω-ASLR σε όλο το σύστημα, η προεπιλεγμένη τιμή GUI του "On by default" δεν αντικατοπτρίζει την υποκείμενη τιμή μητρώου (μη καθορισμένη). Αυτό προκαλεί τη μετεγκατάσταση προγραμμάτων χωρίς /DYNAMICBASE, αλλά χωρίς εντροπία. Το αποτέλεσμα αυτού είναι ότι τέτοια προγράμματα θα μεταφέρονται, αλλά στην ίδια διεύθυνση κάθε φορά κατά τις επανεκκινήσεις και ακόμη και σε διαφορετικά συστήματα.
Ευτυχώς, είναι εύκολο να διορθωθεί το πρόβλημα.
Διορθώστε το ASLR στα Windows 8, Windows 8.1 και Windows 10
- Ανοιξε το Εφαρμογή Επεξεργαστή Μητρώου.
- Μεταβείτε στο ακόλουθο κλειδί μητρώου.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Δείτε πώς να μεταβείτε σε ένα κλειδί μητρώου με ένα κλικ.
- Στα δεξιά, δημιουργήστε μια νέα τιμή REG_BINARY με το όνομα MitigationOptions και ορίστε τα δεδομένα τιμής της σε
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Για να τεθούν σε ισχύ οι αλλαγές που έγιναν από το Registry tweak, επανεκκινήστε τα Windows 10.
Για να εξοικονομήσετε χρόνο, μπορείτε να πραγματοποιήσετε λήψη του ακόλουθου Registry tweak:
Κατεβάστε το Registry Tweak
Αυτό είναι.
