Vigyázat: a Windows helytelenül valósítja meg az ASLR-t, a javítás elérhető

A Vistától kezdve a Windows az Address space layout randomization (ASLR) funkcióval rendelkezik. Az ASLR egy számítógépes biztonsági technika, amely a memóriasérülések kihasználásának megakadályozására szolgál. Annak megakadályozására, hogy a támadó megbízhatóan ugorjon például egy bizonyos kihasznált funkcióhoz a memóriában, az ASLR véletlenszerűen elrendezi a a folyamat kulcsfontosságú adatterületeinek címterének pozíciói, beleértve a végrehajtható fájl alapját, valamint a verem, kupac és könyvtárak. A Windows 8 és újabb verzióiban van egy hiba, amely használhatatlanná teszi ezt a technikát, de kijavíthatja.

Az ASLR (Address Space Layout Randomization) szolgáltatást először a Windows Vista rendszerben vezették be. Lehetővé teszi a kód-újrafelhasználási támadások megelőzését. Az ASLR véletlenszerű memóriacímet biztosít a kód végrehajtásához.

Windows 8, Windows 8.1 és Windows 10 rendszerben az ASLR funkció nem működik megfelelően. A rossz konfigurációs alapértelmezések miatt az ASLR nem használ véletlenszerű memóriacímeket.

Frissítés: Van egy hivatalos blogbejegyzés a Techneten, amely elmagyarázza a pert. Olvassa el itt: A kötelező ASLR viselkedésének tisztázása.

A posztban ez áll:

A konfigurációs probléma nem jelent sebezhetőséget, nem jelent további kockázatot, és nem gyengíti az alkalmazások meglévő biztonsági helyzetét.

Egy bejegyzés a CERT-ről részletesen elmagyarázza a kérdést.

Mind az EMET, mind a Windows Defender Exploit Guard lehetővé teszi a rendszerszintű ASLR-t anélkül, hogy az egész rendszerre kiterjedő, alulról felfelé irányuló ASLR-t is engedélyezne. Bár a Windows Defender Exploit Guard rendelkezik egy rendszerszintű opcióval az egész rendszerre kiterjedő, alulról felfelé irányuló ASLR-hez, az alapértelmezett grafikus felhasználói felület "Alapértelmezés szerint bekapcsolva" nem tükrözi a mögöttes beállításjegyzék-értéket (nem beállítva). Emiatt a /DYNAMICBASE nélküli programok áthelyeződnek, de entrópia nélkül. Ennek az az eredménye, hogy az ilyen programok áthelyezésre kerülnek, de minden újraindításkor ugyanarra a címre, sőt akár különböző rendszerekre is.

Szerencsére könnyen megoldható a probléma.

Az ASLR javítása Windows 8, Windows 8.1 és Windows 10 rendszerben

1. Nyissa meg a Rendszerleíróadatbázis-szerkesztő alkalmazás.
2. Nyissa meg a következő rendszerleíró kulcsot.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel

   Nézze meg, hogyan lehet belépni a rendszerleíró kulcshoz egy kattintással.

3. A jobb oldalon hozzon létre egy új REG_BINARY értéket MitigationOptions néven, és állítsa be az értékadatait

   00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

   
4. A rendszerleíró adatbázis módosítása által végrehajtott módosítások életbe léptetéséhez indítsa újra a Windows 10-et.

Időt takaríthat meg, ha letölti a következő rendszerleíró adatbázist:

Töltse le a Registry Tweak alkalmazást

Ez az.