Atenție: Windows implementează incorect ASLR, remedierea este disponibilă
Începând cu Vista, Windows vine cu randomizare a aspectului spațiului de adrese (ASLR). ASLR este o tehnică de securitate computerizată implicată în prevenirea exploatării vulnerabilităților de corupție a memoriei. Pentru a preveni un atacator să sară în mod fiabil la, de exemplu, o anumită funcție exploatată din memorie, ASLR aranjează aleatoriu adresează pozițiile spațiului ale zonelor cheie de date ale unui proces, inclusiv baza executabilului și pozițiile stivei, heapului și biblioteci. Există o eroare în Windows 8 și mai sus care face ca această tehnică să fie inutilă, dar o puteți remedia.
Caracteristica ASLR (Address Space Layout Randomization) a fost introdusă pentru prima dată în Windows Vista. Permite prevenirea atacurilor de reutilizare a codului. ASLR oferă o adresă de memorie aleatorie pentru a executa codul.
Publicitate
În Windows 8, Windows 8.1 și Windows 10, caracteristica ASLR nu funcționează corect. Din cauza configurării implicite greșite, ASLR nu folosește adrese aleatorii de memorie.
Actualizare: Există o postare oficială pe blog pe Technet care explică problema. Citiți-l aici: Clarificarea comportamentului ASLR obligatoriu.
Postarea spune:
Problema de configurare nu este o vulnerabilitate, nu creează riscuri suplimentare și nu slăbește postura de securitate existentă a aplicațiilor.
O postare pe CERT explică problema în detaliu.
Atât EMET, cât și Windows Defender Exploit Guard activează ASLR la nivelul întregului sistem fără a activa și ASLR de jos în sus la nivelul întregului sistem. Deși Windows Defender Exploit guard are o opțiune la nivel de sistem pentru ASLR de jos în sus la nivel de sistem, valoarea implicită a GUI „Activat în mod implicit” nu reflectă valoarea de registru subiacentă (dezactivată). Acest lucru face ca programele fără /DYNAMICBASE să fie relocate, dar fără nicio entropie. Rezultatul este că astfel de programe vor fi relocate, dar la aceeași adresă de fiecare dată la reporniri și chiar în sisteme diferite.
Din fericire, este ușor să remediați problema.
Remediați ASLR în Windows 8, Windows 8.1 și Windows 10
- Deschide Aplicația Registry Editor.
- Accesați următoarea cheie de registry.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Vedeți cum să accesați o cheie de registry cu un singur clic.
- În dreapta, creați o nouă valoare REG_BINARY numită MitigationOptions și setați datele valorii acesteia la
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Pentru ca modificările efectuate prin modificarea Registrului să intre în vigoare, reporniți Windows 10.
Pentru a economisi timp, puteți descărca următoarea modificare a Registrului:
Descărcați Registry Tweak
Asta e.
