Pozor: Windows napačno implementira ASLR, popravek je na voljo

Začenši z Vista, Windows prihaja z naključno postavitvijo naslovnega prostora (ASLR). ASLR je računalniška varnostna tehnika, ki preprečuje izkoriščanje ranljivosti pomnilnika. Da bi preprečil napadalcu, da bi zanesljivo skočil na, na primer, določeno izkoriščeno funkcijo v pomnilniku, ASLR naključno razporedi položaji naslovnega prostora ključnih podatkovnih področij procesa, vključno z osnovo izvršljive datoteke in položaji sklada, kopice in knjižnice. V operacijskem sistemu Windows 8 in novejših je napaka, zaradi katere je ta tehnika neuporabna, vendar jo lahko popravite.

Funkcija ASLR (Address Space Layout Randomization) je bila prvič predstavljena v sistemu Windows Vista. Omogoča preprečevanje napadov ponovne uporabe kode. ASLR zagotavlja naključni pomnilniški naslov za izvajanje kode.

V sistemih Windows 8, Windows 8.1 in Windows 10 funkcija ASLR ne deluje pravilno. Zaradi napačnih privzetih nastavitev konfiguracije ASLR ne uporablja naključnih pomnilniških naslovov.

Posodobitev: Na Technetu je uradna objava v spletnem dnevniku, ki pojasnjuje tožbo. Preberite tukaj: Pojasnitev obnašanja obveznega ASLR.

Objava pravi:

Težava s konfiguracijo ni ranljivost, ne ustvarja dodatnega tveganja in ne oslabi obstoječe varnostne drže aplikacij.

Objava na CERT podrobno razloži zadevo.

Tako EMET kot Windows Defender Exploit Guard omogočata ASLR za celoten sistem, ne da bi omogočila tudi sistemski ASLR od spodaj navzgor. Čeprav ima zaščita pred izkoriščanjem programa Windows Defender možnost za celosistemski sistem od spodaj navzgor za ASLR, privzeta vrednost GUI »Privzeto vklopljena« ne odraža osnovne vrednosti registra (nenastavljena). To povzroči, da se programi brez /DYNAMICBASE premaknejo, vendar brez entropije. Posledica tega je, da bodo takšni programi prestavljeni, vendar na isti naslov vsakič med ponovnimi zagoni in celo v različnih sistemih.

Na srečo je težavo enostavno odpraviti.

Popravite ASLR v operacijskih sistemih Windows 8, Windows 8.1 in Windows 10

1. Odprite Aplikacija urejevalnik registra.
2. Pojdite na naslednji registrski ključ.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel

   Oglejte si, kako odpreti registrski ključ z enim klikom.

3. Na desni ustvarite novo vrednost REG_BINARY z imenom MitigationOptions in nastavite njene podatke o vrednosti na

   00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

   
4. Če želite, da bodo spremembe, ki so bile izvedene s prilagoditvijo registra, začele veljati, znova zaženite Windows 10.

Če želite prihraniti čas, lahko prenesete naslednjo prilagoditev registra:

Prenesite Registry Tweak

To je to.