Oficina

Implementación de aleatorizaciones de diseño de espacio de direcciones en Windows

Programming - Computer Science for Business Leaders 2016

Programming - Computer Science for Business Leaders 2016
Anonim

Los investigadores de seguridad del CERT afirman que Windows 10, Windows 8,1 y Windows 8 no asignan al azar correctamente cada aplicación si ASLR obligatorio para todo el sistema se habilita a través de EMET o Windows Defender Exploit Guard. Microsoft ha respondido diciendo que la implementación de Aleatorización de diseño de espacio de direcciones (ASLR) en Microsoft Windows está funcionando como se esperaba. Echemos un vistazo al problema.

Lo que es ASLR

ASLR se expande como asignación aleatoria del diseño del espacio de direcciones, la función hizo un debut con Windows Vista y está diseñada para evitar ataques de reutilización de código. Los ataques se previenen cargando módulos ejecutables en direcciones no predecibles, mitigando así los ataques que generalmente dependen del código colocado en ubicaciones predecibles. ASLR está afinado para combatir las técnicas de explotación como la programación orientada a la devolución, que se basa en el código que generalmente se carga en una ubicación predecible. Aparte de eso, una de las principales desventajas del ASLR es que debe estar vinculada con el indicador / DYNAMICBASE.

Alcance del uso

El ASLR ofrece protección a la aplicación, pero no lo hizo cubre las mitigaciones de todo el sistema. De hecho, es por esta razón que se lanzó Microsoft EMET. EMET se aseguró de que cubriera tanto las mitigaciones de todo el sistema como las específicas de la aplicación. El EMET terminó siendo la cara de las mitigaciones de todo el sistema al ofrecer un front-end para los usuarios. Sin embargo, a partir de la actualización Windows 10 Fall Creators, las características EMET se han reemplazado con Windows Defender Exploit Guard.

El ASLR se puede habilitar obligatoriamente para EMET y Windows Defender Exploit Guard para códigos que no están vinculados a / DYNAMICBASE flag y esto puede implementarse tanto por aplicación como a nivel de todo el sistema. Lo que esto significa es que Windows reubicará automáticamente el código en una tabla de reubicación temporal y, por lo tanto, la nueva ubicación del código será diferente para cada reinicio. A partir de Windows 8, los cambios de diseño exigieron que ASLR en todo el sistema debería tener habilitado ASLR ascendente en todo el sistema para suministrar entropía al ASLR obligatorio.

El ASLR de problema

siempre es más efectivo cuando la entropía es más En términos mucho más simples, el aumento en la entropía aumenta la cantidad de espacio de búsqueda que debe explorar el atacante. Sin embargo, ambos, EMET y Windows Defender Exploit Guard permiten ASLR en todo el sistema sin habilitar ASLR ascendente en todo el sistema. Cuando esto sucede, los programas sin / DYNMICBASE serán reubicados pero sin ninguna entropía. Como explicamos anteriormente, la ausencia de entropía facilitaría la tarea de los atacantes, ya que el programa reiniciará siempre la misma dirección.

Este problema afecta actualmente a Windows 8, Windows 8.1 y Windows 10 que tienen habilitado un ASLR en todo el sistema a través de Windows Defender Exploit Guard o EMET. Como la reubicación de direcciones no es de naturaleza DYNAMICBASE, generalmente anula la ventaja de ASLR.

Lo que Microsoft tiene que decir

Microsoft ha sido rápido y ya ha emitido una declaración. Esto es lo que la gente de Microsoft tenía que decir,

"El comportamiento de ASLR obligatorio que CERT observó es por diseño y ASLR funciona según lo previsto. El equipo de WDEG está investigando el problema de configuración que impide la habilitación de todo el sistema de ASLR ascendente y está trabajando para abordarlo en consecuencia. Este problema no crea un riesgo adicional, ya que solo ocurre cuando se intenta aplicar una configuración no predeterminada a las versiones existentes de Windows. Incluso entonces, la postura de seguridad efectiva no es peor que la proporcionada por defecto y es sencillo solucionar el problema siguiendo los pasos que se describen en esta publicación "

. Han detallado específicamente las soluciones que ayudarán a lograr el nivel deseado. de seguridad Existen dos soluciones alternativas para aquellos a los que les gustaría habilitar ASLR obligatoria y la aleatorización ascendente para los procesos cuyo EXE no optó por ASLR.

1] Guarde lo siguiente en optin.reg e impórtelo para habilitar el ASLR obligatorio y la aleatorización de abajo hacia arriba en todo el sistema.

Editor de registro de Windows Versión 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Habilitar la ASLR obligatoria y la aleatorización de abajo hacia arriba a través del programa- configuración específica usando WDEG o EMET.

Microsoft dijo: este problema no crea un riesgo adicional, ya que solo ocurre cuando se intenta aplicar una configuración no predeterminada a las versiones existentes de Windows.