Если вы используете Microsoft EMET в Windows 8.x или в Windows 10 или новый компонент Exploit Guard Защитника Windows в Windows 10 версии 1709, ваша система может быть не защищена должным образом защитным механизмом “рандомизация размещения адресного пространства” или ASLR.
Microsoft представила ASLR еще в Windows Vista. Основное предназначение защитного механизма - предотвращение атак повторного использования существующего кода. путем рандомизации адресов загрузки исполняемых файлов в операционной системе.
Хотя приложения могут использовать ASLR напрямую, Microsoft EMET позволяет добавлять поддержку ASLR на системном уровне или для отдельных приложений на машине Windows.
Microsoft ранее сообщала о завершении поддержки Microsoft EMET и реализации защиты от эксплойтов в Windows 10 Fall Creators Update. Тем не менее, Редмонд внес некоторые изменения в способ обработки ASLR.
В Windows 8 был изменен способ обработки так называемой system-wide mandatory ASLR (общесистемной принудительной защиты ASLR). Чтобы принудительная ASLR получала энтропию должна быть также активна system-wide bottom-up ASLR (общесистемная восходящая защита ASLR). В противном случае, инструменты, включающие принудительную защиту не смогут правильно рандомизировать адресное пространство исполняемых файлов.
С точки зрения безопасности, данное изменение носит негативный эффект. Адреса приложений становятся предсказуемыми, даже если общесистемная ASLR включена через EMET или Exploit Guard Защитника Windows.
Данную проблему можно исправить вручную. Для этого нужно включить ASLR и восходящую ASLR на целевой машине.
Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.
Для этого в блокноте или другом текстовом редакторе создайте файл с расширением .reg со следующим содержимым:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Запустите файл и выполните импорт в системный реестр.
Угрозы безопасности
• Поддельный сайт Claude AI распространяет новый Windows-бэкдор Beagle
• Хакеры внедрили бэкдор в установщики DAEMON Tools через атаку на цепочку поставок
• Bitwarden CLI в npm скомпрометирован: вредоносный пакет крал учетные данные разработчиков
• Mirai атакует устаревшие роутеры D-Link через критическую RCE-уязвимость
• Apple срочно закрыла уязвимость в iPhone – она позволяла восстанавливать удалённые сообщения Signal
• OpenAI отозвала сертификат приложений ChatGPT, Codex и Atlas для macOS – требуется обновление