Если вы используете Microsoft EMET в Windows 8.x или в Windows 10 или новый компонент Exploit Guard Защитника Windows в Windows 10 версии 1709, ваша система может быть не защищена должным образом защитным механизмом “рандомизация размещения адресного пространства” или ASLR.
Microsoft представила ASLR еще в Windows Vista. Основное предназначение защитного механизма - предотвращение атак повторного использования существующего кода. путем рандомизации адресов загрузки исполняемых файлов в операционной системе.
Хотя приложения могут использовать ASLR напрямую, Microsoft EMET позволяет добавлять поддержку ASLR на системном уровне или для отдельных приложений на машине Windows.
Microsoft ранее сообщала о завершении поддержки Microsoft EMET и реализации защиты от эксплойтов в Windows 10 Fall Creators Update. Тем не менее, Редмонд внес некоторые изменения в способ обработки ASLR.
В Windows 8 был изменен способ обработки так называемой system-wide mandatory ASLR (общесистемной принудительной защиты ASLR). Чтобы принудительная ASLR получала энтропию должна быть также активна system-wide bottom-up ASLR (общесистемная восходящая защита ASLR). В противном случае, инструменты, включающие принудительную защиту не смогут правильно рандомизировать адресное пространство исполняемых файлов.
С точки зрения безопасности, данное изменение носит негативный эффект. Адреса приложений становятся предсказуемыми, даже если общесистемная ASLR включена через EMET или Exploit Guard Защитника Windows.
Данную проблему можно исправить вручную. Для этого нужно включить ASLR и восходящую ASLR на целевой машине.
Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.
Для этого в блокноте или другом текстовом редакторе создайте файл с расширением .reg со следующим содержимым:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Запустите файл и выполните импорт в системный реестр.
Угрозы безопасности
• Разработчик антивируса Avast оштрафован на 16,5 млн долларов за продажу данных пользователей
• Хакеры взломали серверы AnyDesk, пользователям нужно сбросить пароли
• «Яндекс ID» предотвратил 50 млн подозрительных попыток входа в аккаунты за год
• Учетные данные 70 миллионов пользователей обнаружены в даркнете
• Уязвимость LeftoverLocals позволяет получать ИИ-данные из GPU от AMD, Apple, Qualcomm
• iShutdown – инструмент от «Лаборатории Касперского» для обнаружения шпионской программы Pegasus на iPhone