В Windows 8 и 10 обнаружена ошибка реализации ASLR. Как исправить

2017-11-21 7458 комментарии
Исследователь безопасности из координационного центра CERT/CC Уилл Дорманн обнаружил проблему реализации технологии ASLR в операционных системах Windows 8 и Windows 10

Если вы используете Microsoft EMET в Windows 8.x или в Windows 10 или новый компонент Exploit Guard Защитника Windows в Windows 10 версии 1709, ваша система может быть не защищена должным образом защитным механизмом “рандомизация размещения адресного пространства” или ASLR.

Microsoft представила ASLR еще в Windows Vista. Основное предназначение защитного механизма - предотвращение атак повторного использования существующего кода. путем рандомизации адресов загрузки исполняемых файлов в операционной системе.

Microsoft EMET

Хотя приложения могут использовать ASLR напрямую, Microsoft EMET позволяет добавлять поддержку ASLR на системном уровне или для отдельных приложений на машине Windows.

Microsoft ранее сообщала о завершении поддержки Microsoft EMET и реализации защиты от эксплойтов в Windows 10 Fall Creators Update. Тем не менее, Редмонд внес некоторые изменения в способ обработки ASLR.

В Windows 8 был изменен способ обработки так называемой system-wide mandatory ASLR (общесистемной принудительной защиты ASLR). Чтобы принудительная ASLR получала энтропию должна быть также активна system-wide bottom-up ASLR (общесистемная восходящая защита ASLR). В противном случае, инструменты, включающие принудительную защиту не смогут правильно рандомизировать адресное пространство исполняемых файлов.

С точки зрения безопасности, данное изменение носит негативный эффект. Адреса приложений становятся предсказуемыми, даже если общесистемная ASLR включена через EMET или Exploit Guard Защитника Windows.

Данную проблему можно исправить вручную. Для этого нужно включить ASLR и восходящую ASLR на целевой машине.

Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.

Для этого в блокноте или другом текстовом редакторе создайте файл с расширением .reg со следующим содержимым:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]

"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Запустите файл и выполните импорт в системный реестр.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте