Saugokitės: „Windows“ neteisingai įdiegia ASLR, galima pataisyti
Pradedant nuo „Vista“, „Windows“ yra su adresų erdvės išdėstymo atsitiktine tvarka (ASLR). ASLR yra kompiuterio saugos technika, skirta užkirsti kelią atminties pažeidžiamumui išnaudoti. Siekdama užkirsti kelią užpuolikui patikimai pereiti prie, pavyzdžiui, tam tikros išnaudotos atminties funkcijos, ASLR atsitiktinai sutvarko pagrindinių proceso duomenų sričių adresų erdvės pozicijas, įskaitant vykdomojo failo bazę ir dėklo, krūvos ir bibliotekos. „Windows 8“ ir naujesnėse versijose yra klaida, dėl kurios ši technika yra nenaudinga, tačiau galite ją ištaisyti.
ASLR (Address Space Layout Randomization) funkcija pirmą kartą buvo pristatyta sistemoje Windows Vista. Tai leidžia užkirsti kelią pakartotinio kodo naudojimo atakoms. ASLR suteikia atsitiktinės atminties adresą kodui vykdyti.
Skelbimas
Sistemose „Windows 8“, „Windows 8.1“ ir „Windows 10“ ASLR funkcija neveikia tinkamai. Dėl neteisingų numatytųjų konfigūracijos nustatymų ASLR nenaudoja atsitiktinių atminties adresų.
Atnaujinimas: „Technet“ yra oficialus tinklaraščio įrašas, kuriame paaiškinamas ieškinys. Skaitykite čia: Privalomo ASLR veikimo paaiškinimas.
Įraše rašoma:
Konfigūracijos problema nėra pažeidžiamumas, nesukelia papildomos rizikos ir nesusilpnina esamos programų saugos pozicijos.
Įrašas apie CERT išsamiai paaiškina problemą.
Tiek EMET, tiek Windows Defender Exploit Guard įgalina visos sistemos ASLR, neįjungdami visos sistemos ASLR iš apačios į viršų. Nors „Windows Defender Exploit“ apsauga turi visos sistemos parinktį, skirtą visos sistemos „iš apačios į viršų“, ASLR, numatytoji GUI reikšmė „Įjungta pagal numatytuosius nustatymus“ neatspindi pagrindinės registro vertės (nustatyta). Dėl to programos be /DYNAMICBASE perkeliamos, bet be entropijos. Dėl to tokios programos bus perkeltos į tą patį adresą kiekvieną kartą perkraunant ir net skirtingose sistemose.
Laimei, problemą lengva išspręsti.
Pataisykite ASLR sistemoje „Windows 8“, „Windows 8.1“ ir „Windows 10“.
- Atidaryk Registro rengyklės programa.
- Eikite į šį registro raktą.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Sužinokite, kaip pereiti prie registro rakto vienu paspaudimu.
- Dešinėje sukurkite naują REG_BINARY reikšmę pavadinimu MitigationOptions ir nustatykite jos vertės duomenis į
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Kad pakeitimai, atlikti registro patobulinimu, įsigaliotų, iš naujo paleiskite „Windows 10“..
Norėdami sutaupyti laiko, galite atsisiųsti šį registro patobulinimą:
Atsisiųskite Registry Tweak
Viskas.
