Pejabat

Pelaksanaan Rakaman Layout Ruang Alamat pada Windows

Aplikasi Pengolah Kata Microsoft Word_Part 2

Aplikasi Pengolah Kata Microsoft Word_Part 2
Anonim

Rawak Layaran Ruang Alamat (ASLR) pada Microsoft Windows berfungsi seperti yang diharapkan. Mari kita perhatikan masalah ini. Apakah ASLR

ASLR diperluas sebagai Alamat Ruang Rawak Randomisation, ciri ini membuat debut dengan Windows Vista dan direka untuk mencegah serangan semula-kod. Serangan dihalang dengan memuatkan modul yang boleh dilaksanakan pada alamat yang tidak dapat diramalkan dengan itu mengurangkan serangan yang biasanya bergantung kepada kod yang diletakkan di lokasi yang dapat diprediksi. ASLR diperhalusi untuk memerangi teknik eksploitasi seperti pemrograman Berorientasikan Pemulangan yang bergantung kepada kod yang biasanya dimuatkan ke lokasi yang boleh diramal. Bahawa salah satu kelemahan utama ASLR adalah bahawa ia perlu dihubungkan dengan bendera

/ DYNAMICBASE Skop penggunaan

ASLR menawarkan perlindungan kepada aplikasi itu, tetapi ia tidak meliputi penutupan menyeluruh sistem. Malah, ini adalah untuk sebab ini bahawa Microsoft EMET dibebaskan. EMET memastikan bahawa ia meliputi kedua-dua sistem dan mitigasi khusus aplikasi. EMET berakhir sebagai wajah pengurangan sistem dengan menawarkan front-end untuk pengguna. Namun, bermula dari Windows 10 Fall Creators mengemas kini ciri-ciri EMET telah digantikan dengan Windows Defender Exploit Guard.

ASLR boleh dibolehkan wajib untuk kedua EMET, dan Windows Defender Exploit Guard untuk kod yang tidak dikaitkan dengan / DYNAMICBASE flag dan ini boleh dilaksanakan sama ada secara per-aplikasi atau asas seluruh sistem. Apa ini bermakna bahawa Windows secara automatik akan memindahkan kod ke jadual penempatan sementara dan oleh itu lokasi baru kod tersebut akan berbeza untuk setiap reboot. Bermula dari Windows 8, perubahan reka bentuk memberi mandat bahawa ASLR seluruh sistem harus mempunyai ASLR bottom-up sistem yang dibolehkan untuk membekalkan entropi kepada ASLR wajib.

Masalah

ASLR sentiasa lebih berkesan apabila entropi lebih. Dalam istilah yang lebih sederhana, peningkatan entropi meningkatkan bilangan ruang carian yang perlu diterokai oleh penyerang. Walau bagaimanapun, kedua-duanya, EMET dan Windows Defender Exploit Guard membolehkan ASLR seluruh sistem tanpa mengaktifkan sistem bawah ASLR. Apabila ini berlaku, program tanpa / DYNMICBASE akan dipindahkan tetapi tanpa sebarang entropi. Seperti yang dijelaskan sebelumnya, ketiadaan entropi akan menjadikannya lebih mudah untuk penyerang kerana program itu akan menyahpasang alamat yang sama setiap kali.

Isu ini pada masa ini menjejaskan Windows 8, Windows 8.1 dan Windows 10 yang mempunyai sistem ASLR di seluruh dunia melalui Windows Defender Exploit Guard atau EMET. Oleh kerana penempatan semula alamat tidak bersifat DYNAMICBASE, ia biasanya mengatasi kelebihan ASLR.

Apa yang Microsoft katakan

Microsoft telah cepat dan telah mengeluarkan kenyataan. Inilah yang dikatakan oleh orang-orang di Microsoft,

"Tingkah laku ASLR wajib yang diamati oleh CERT adalah dengan reka bentuk dan ASLR berfungsi seperti yang diharapkan. Pasukan WDEG sedang menyiasat isu konfigurasi yang menghalang pembolehubah ASLR di seluruh bahagian bawah dan berusaha untuk mengatasinya dengan sewajarnya. Isu ini tidak menimbulkan risiko tambahan kerana ia hanya berlaku ketika cuba menerapkan konfigurasi tidak lalai ke versi Windows yang ada. Walau bagaimanapun, postur keselamatan yang berkesan tidak lebih buruk daripada apa yang diberikan secara lalai dan ia adalah mudah untuk mengatasi masalah melalui langkah-langkah yang dijelaskan dalam catatan ini "

Mereka telah secara khusus memperincikan penyelesaian yang akan membantu dalam mencapai tahap yang diingini keselamatan. Terdapat dua workarounds bagi mereka yang ingin membolehkan ASLR wajib dan rawak bawah untuk proses yang mana EXE tidak ikut serta dalam ASLR.

1] Simpan yang berikut ke dalam optin.reg dan importnya untuk membolehkan ASLR mandatori dan sistem rawak bottom-up.

Editor Registry Windows Versi 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Aktifkan ASLR wajib dan rawak bottom-up melalui program- konfigurasi khusus menggunakan WDEG atau EMET

Said Microsoft - Isu ini tidak mencipta risiko tambahan kerana ia hanya berlaku apabila cuba menggunakan konfigurasi tidak lalai ke versi Windows yang ada