Ettevaatust: Windows rakendab ASLR-i valesti, parandus on saadaval
Alates Vistast on Windowsis kaasas aadressiruumi paigutuse randomiseerimine (ASLR). ASLR on arvutiturbetehnika, mis takistab mälu rikutud haavatavuste ärakasutamist. Vältimaks ründajat usaldusväärselt hüppamast näiteks teatud mälus kasutatud funktsiooni juurde, korraldab ASLR juhuslikult protsessi võtmeandmete alade aadressiruumi asukohad, sealhulgas käivitatava faili alus ning virna, kuhja ja positsioonid raamatukogud. Windows 8 ja uuemates versioonides on viga, mis muudab selle tehnika kasutuks, kuid saate selle parandada.
ASLR (Address Space Layout Randomization) funktsioon võeti esmakordselt kasutusele Windows Vistas. See võimaldab vältida koodi taaskasutamise rünnakuid. ASLR pakub koodi täitmiseks juhuslikku mäluaadressi.
Reklaam
Operatsioonisüsteemides Windows 8, Windows 8.1 ja Windows 10 ASLR-i funktsioon ei tööta korralikult. Valede konfiguratsiooni vaikesätete tõttu ei kasuta ASLR juhuslikke mäluaadresse.
Värskendus: Technetis on ametlik ajaveebi postitus, mis selgitab kohtuotsust. Loe seda siit: Kohustusliku ASLR-i käitumise selgitamine.
Postitus ütleb:
Konfiguratsiooniprobleem ei ole haavatavus, see ei tekita lisariski ega nõrgenda rakenduste olemasolevat turvalisust.
Postitus CERT-i kohta selgitab probleemi üksikasjalikult.
Nii EMET kui ka Windows Defender Exploit Guard võimaldavad kogu süsteemi hõlmavat ASLR-i, lubamata ka kogu süsteemi alt-üles ASLR-i. Kuigi Windows Defender Exploiti valvuril on kogu süsteemi hõlmav alt-üles-ASLR-i valik, ei kajasta GUI vaikeväärtus "Vaikimisi sees" selle aluseks olevat registriväärtust (määramata). See põhjustab ilma /DYNAMICBASEta programmide ümberpaigutamise, kuid ilma entroopiata. Selle tulemuseks on see, et sellised programmid paigutatakse ümber, kuid iga kord samale aadressile taaskäivitamise ajal ja isegi erinevates süsteemides.
Õnneks on probleemi lihtne lahendada.
Parandage ASLR opsüsteemides Windows 8, Windows 8.1 ja Windows 10
- Ava Registriredaktori rakendus.
- Minge järgmisele registrivõtmele.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Vaadake, kuidas avada registrivõti ühe klõpsuga.
- Paremal looge uus REG_BINARY väärtus nimega MitigationOptions ja määrake selle väärtusandmeteks
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Registri näpunäidetega tehtud muudatuste jõustumiseks taaskäivitage Windows 10.
Aja säästmiseks saate alla laadida järgmise registri näpunäite:
Laadige alla Registry Tweak
See on kõik.
