Если вы используете Microsoft EMET в Windows 8.x или в Windows 10 или новый компонент Exploit Guard Защитника Windows в Windows 10 версии 1709, ваша система может быть не защищена должным образом защитным механизмом “рандомизация размещения адресного пространства” или ASLR.
Microsoft представила ASLR еще в Windows Vista. Основное предназначение защитного механизма - предотвращение атак повторного использования существующего кода. путем рандомизации адресов загрузки исполняемых файлов в операционной системе.
Хотя приложения могут использовать ASLR напрямую, Microsoft EMET позволяет добавлять поддержку ASLR на системном уровне или для отдельных приложений на машине Windows.
Microsoft ранее сообщала о завершении поддержки Microsoft EMET и реализации защиты от эксплойтов в Windows 10 Fall Creators Update. Тем не менее, Редмонд внес некоторые изменения в способ обработки ASLR.
В Windows 8 был изменен способ обработки так называемой system-wide mandatory ASLR (общесистемной принудительной защиты ASLR). Чтобы принудительная ASLR получала энтропию должна быть также активна system-wide bottom-up ASLR (общесистемная восходящая защита ASLR). В противном случае, инструменты, включающие принудительную защиту не смогут правильно рандомизировать адресное пространство исполняемых файлов.
С точки зрения безопасности, данное изменение носит негативный эффект. Адреса приложений становятся предсказуемыми, даже если общесистемная ASLR включена через EMET или Exploit Guard Защитника Windows.
Данную проблему можно исправить вручную. Для этого нужно включить ASLR и восходящую ASLR на целевой машине.
Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.
Для этого в блокноте или другом текстовом редакторе создайте файл с расширением .reg со следующим содержимым:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Запустите файл и выполните импорт в системный реестр.
Угрозы безопасности
• Ошибка ASUS Armoury Crate позволяет злоумышленникам получить права администратора Windows
• Google настоятельно рекомендует отказаться от паролей
• Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption
• Mozilla запускает новую систему для обнаружения расширений в Firefox, ворующих криптовалюту
• Qualcomm устранила три эксплуатируемые уязвимости нулевого дня в Adreno GPU
• Утечка данных: в сеть слиты данные 184 миллионов аккаунтов, включая пароли от Google, PayPal и Netflix