Реализация рандомизации макета адресного пространства в Windows

Исследователи безопасности в CERT заявили, что Windows 10, Windows 8,1 и Windows 8 не могут правильно рандомизировать каждое приложение, если общесистемная обязательная ASLR включена через EMET или Защитник Windows Defender. Microsoft ответила, заявив, что реализация рандомизации макета пространства адресов (ASLR) в Microsoft Windows работает по назначению. Давайте рассмотрим проблему.

Что такое ASLR

ASLR расширяется как рандомизация макета адресного пространства, эта функция дебютировала с Windows Vista и предназначена для предотвращения атак с повторным использованием кода. Атаки предотвращаются путем загрузки исполняемых модулей на непредсказуемые адреса, тем самым уменьшая атаки, которые обычно зависят от кода, размещенного в предсказуемых местах. ASLR отлично настроена для борьбы с такими методами эксплойтов, как ориентированное на возврат программирование, которое полагается на код, который обычно загружается в предсказуемое местоположение. Отличие одного из основных недостатков ASLR заключается в том, что его необходимо связать с флагом / DYNAMICBASE.

Сфера применения

ASLR предложила защиту для приложения, но она не охватывают общесистемные смягчения. Фактически, именно по этой причине Microsoft EMET была выпущена. EMET обеспечила, чтобы он охватывал как общесистемные, так и прикладные смягчения. EMET оказался лицом к общесистемным смягчениям, предлагая интерфейс для пользователей. Однако, начиная с обновления Windows 10 Fall Creators, функции EMET были заменены Защитником безопасности Windows Defender.

ASLR можно принудительно активировать как для EMET, так и для Защитника Windows Defender Exploit Guard для кодов, которые не связаны с флагом / DYNAMICBASE и это может быть реализовано либо на основе каждого приложения, либо на основе всей системы. Это означает, что Windows автоматически переместит код во временную таблицу перемещения и, следовательно, новое расположение кода будет отличаться для каждой перезагрузки. Начиная с Windows 8, изменения в дизайне предусматривают, что общесистемная ASLR должна иметь общесистемный восходящий ASLR для обеспечения энтропии в обязательный ASLR.

Проблема

ASLR всегда более эффективна, когда энтропия - больше. В гораздо более простых терминах увеличение энтропии увеличивает количество поисковых пространств, которые должен быть исследован злоумышленником. Тем не менее, как EMET, так и защитник Windows Defender Guard поддерживают системную ASLR без включения системного восходящего ASLR. Когда это произойдет, программы без / DYNMICBASE будут перемещены, но без энтропии. Как мы объясняли ранее, отсутствие энтропии сделает их относительно более легкими для злоумышленников, так как программа будет перезагружать один и тот же адрес каждый раз.

Эта проблема в настоящее время влияет на Windows 8, Windows 8.1 и Windows 10, которые имеют общесистемный ASLR через Защитник Защитника Windows или EMET. Поскольку переадресация адреса не является DYNAMICBASE, она обычно переопределяет преимущество ASLR.

Что Microsoft может сказать

Microsoft была быстрой и уже выпустила заявление. Это то, что люди в Microsoft должны были сказать,

«Поведение обязательной ASLR, наблюдаемое CERT, осуществляется по дизайну, и ASLR работает по назначению. Команда WDEG изучает проблему конфигурации, которая препятствует общесистемному включению восходящей ASLR и работает над ее решением. Эта проблема не создает дополнительного риска, поскольку она возникает только при попытке применить нестандартную конфигурацию к существующим версиям Windows. Даже тогда эффективная позиция безопасности не хуже, чем то, что предоставляется по умолчанию, и легко решить эту проблему с помощью шагов, описанных в этом сообщении »

Они специально описали обходные пути, которые помогут достичь желаемого уровня безопасности. Существует два метода обхода для тех, кто хотел бы включить обязательную ASLR и рандомизацию снизу вверх для процессов, EXE которых не выбрала ASLR.

1] Сохраните следующее в optin.reg и импортируйте его, чтобы включить обязательную ASLR и рандомизацию снизу вверх по всей системе.

Редактор реестра Windows версии 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00

2] Включить обязательную ASLR и рандомизацию снизу вверх с помощью программно- специфическая конфигурация с использованием WDEG или EMET.

Said Microsoft. Эта проблема не создает дополнительного риска, поскольку она возникает только при попытке применить конфигурацию не по умолчанию для существующих версий Windows.