היזהר: Windows מיישמת ASLR בצורה שגויה, התיקון זמין
החל מ-Vista, Windows מגיע עם פריסת מרחב כתובות אקראית (ASLR). ASLR היא טכניקת אבטחת מחשב המעורבת במניעת ניצול של פגיעויות של שחיתות זיכרון. על מנת למנוע מתוקף לקפוץ בצורה מהימנה, למשל, לפונקציה מנוצלת מסוימת בזיכרון, ASLR מסדר באקראי את מיקומי מרחב כתובת של אזורי נתונים מרכזיים בתהליך, כולל בסיס קובץ ההפעלה והמיקומים של המחסנית, הערימה וה ספריות. יש באג ב-Windows 8 ומעלה שהופך את הטכניקה הזו לחסרת תועלת, אבל אתה יכול לתקן אותה.
תכונת ASLR (Address Space Layout Randomization) הוצגה לראשונה ב-Windows Vista. זה מאפשר למנוע התקפות של שימוש חוזר בקוד. ASLR מספק כתובת זיכרון אקראית לביצוע קוד.
פרסומת
ב-Windows 8, Windows 8.1 ו-Windows 10 תכונת ASLR אינה פועלת כראוי. עקב ברירת מחדל של תצורה שגויה, ASLR אינו משתמש בכתובות זיכרון אקראיות.
עדכון: יש פוסט רשמי בבלוג ב-Technet שמסביר את התביעה. קרא את זה כאן: הבהרת התנהגות ASLR חובה.
הפוסט אומר:
בעיית התצורה אינה נקודת תורפה, אינה יוצרת סיכון נוסף ואינה מחלישה את עמדת האבטחה הקיימת של יישומים.
פוסט ב-CERT מסביר את הנושא בפירוט.
גם EMET וגם Windows Defender Exploit Guard מאפשרים ASLR כלל המערכת מבלי לאפשר גם ASLR מלמטה למעלה. למרות של-Windows Defender Exploit guard יש אפשרות כלל-מערכתית ל-ASLR-מלמטה-מעלה של המערכת, ערך ה-GUI המוגדר כברירת מחדל של "מופעל כברירת מחדל" אינו משקף את ערך הרישום הבסיסי (לא מוגדר). זה גורם לתוכניות ללא /DYNAMICBASE לעבור מיקום, אך ללא כל אנטרופיה. התוצאה של זה היא שתוכנות כאלה יועברו, אבל לאותה כתובת בכל פעם על פני אתחולים מחדש ואפילו על פני מערכות שונות.
למרבה המזל, קל לתקן את הבעיה.
תקן ASLR ב-Windows 8, Windows 8.1 ו-Windows 10
- פתח את ה אפליקציית עורך הרישום.
- עבור אל מפתח הרישום הבא.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
ראה כיצד לעבור אל מפתח רישום בלחיצה אחת.
- בצד ימין, צור ערך REG_BINARY חדש בשם MitigationOptions והגדר את נתוני הערך שלו ל
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- כדי שהשינויים שבוצעו על ידי תיקון הרישום ייכנסו לתוקף, הפעל מחדש את Windows 10.
כדי לחסוך זמן, אתה יכול להוריד את תיקון הרישום הבא:
הורד Registry Tweak
זהו זה.
