Pozor: Windows nesprávne implementuje ASLR, oprava je k dispozícii
Počnúc systémom Vista sa systém Windows dodáva s randomizáciou rozloženia adresného priestoru (ASLR). ASLR je počítačová bezpečnostná technika, ktorá sa podieľa na predchádzaní zneužitiu zraniteľných miest poškodenia pamäte. Aby sa útočníkovi zabránilo spoľahlivo prejsť napríklad na konkrétnu zneužitú funkciu v pamäti, ASLR náhodne usporiada pozície adresného priestoru kľúčových dátových oblastí procesu vrátane základne spustiteľného súboru a pozícií zásobníka, haldy a knižnice. V systéme Windows 8 a novších verziách je chyba, kvôli ktorej je táto technika zbytočná, ale môžete ju opraviť.
Funkcia ASLR (Address Space Layout Randomization) bola prvýkrát predstavená v systéme Windows Vista. Umožňuje zabrániť útokom na opätovné použitie kódu. ASLR poskytuje náhodnú adresu pamäte na vykonanie kódu.
Reklama
Vo Windows 8, Windows 8.1 a Windows 10 funkcia ASLR nefunguje správne. Kvôli nesprávnym predvoleným nastaveniam konfigurácie ASLR nepoužíva náhodné adresy pamäte.
Aktualizácia: Na Technete je oficiálny blogový príspevok, ktorý vysvetľuje situáciu. Prečítajte si to tu: Objasnenie správania povinných ASLR.
V príspevku sa píše:
Problém s konfiguráciou nepredstavuje zraniteľnosť, nevytvára dodatočné riziko a neoslabuje existujúcu bezpečnostnú pozíciu aplikácií.
Príspevok na CERT podrobne vysvetľuje problematiku.
EMET aj Windows Defender Exploit Guard umožňujú celosystémové ASLR bez toho, aby umožňovali aj celosystémové ASLR zdola nahor. Hoci Windows Defender Exploit guard má celosystémovú možnosť pre systém zdola nahor ASLR v celom systéme, predvolená hodnota grafického rozhrania „Predvolene zapnuté“ neodráža hodnotu základnej databázy Registry (nenastavená). To spôsobí, že programy bez /DYNAMICBASE sa premiestnia, ale bez akejkoľvek entropie. Výsledkom je, že takéto programy budú premiestnené, ale vždy na rovnakú adresu pri reštartovaní a dokonca aj na rôznych systémoch.
Našťastie je ľahké problém vyriešiť.
Opravte ASLR v systéme Windows 8, Windows 8.1 a Windows 10
- Otvor Aplikácia Editor databázy Registry.
- Prejdite na nasledujúci kľúč databázy Registry.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Zistite, ako prejsť na kľúč databázy Registry jedným kliknutím.
- Vpravo vytvorte novú hodnotu REG_BINARY s názvom MitigationOptions a nastavte jej údaje hodnoty na
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Aby sa zmeny vykonané ladením databázy Registry prejavili, reštartujte Windows 10.
Ak chcete ušetriť čas, môžete si stiahnuť nasledujúce vylepšenie databázy Registry:
Stiahnite si Registry Tweak
To je všetko.
