Windows 8, 8.1 ja 10 toteuttavat aslr-suojausominaisuuden väärin

Sisällysluettelo:

Video: How to Upgrade to Windows 10 for Free in 2020 2024

Video: How to Upgrade to Windows 10 for Free in 2020 2024
Anonim

Windows Vista toi mielenkiintoisen turvaominaisuuden nimeltä ASLR - Address Space Layout Randomization. Tämä käyttää satunnaismuistiosoitetta koodin suorittamiseen, mutta Windows 8: ssa, Windows 8.1: ssä ja Windows 10: ssä näyttää siltä, ​​että tämä ominaisuus ei aina toteutu oikein.

Turvallisuusanalyytikon mukaan ASLR ei käytä näissä kolmessa viimeisessä Windows-versiossa satunnaismuistiosoitteita. Toisin sanoen, se on hyödytöntä.

Kuinka toteuttaa ASLR manuaalisesti

Suorittamalla koodia satunnaisessa paikassa, ASLR auttaa suojaamaan hyväksikäytöltä, jota yrität hyödyntää koodilla, joka suoritetaan ennustettavissa tai tunnetuissa muistiosoitteissa.

Ongelma ilmenee, kun EMET- tai Windows Defender Exploit Guard -sovellusta käytetään pakollisen ASLR-järjestelmän käyttöönottamiseksi koko järjestelmässä.

Aihetta tutkinut tietoturva-asiantuntija on Will Dormann, joka selittää kaiken, mitä sinun on tiedettävä rekisterimerkinnän johdosta ilmaantuvasta ongelmasta.

Dormannin mukaan sekä Windows Defender Exploit Guard että EMET mahdollistavat koko järjestelmän kattavan ASLR: n mahdollistamatta myös järjestelmänlaajuista alhaalta ylöspäin suuntautuvaa ASLR: ää.

Vaikka Windows Defender Exploit Guard -järjestelmässä olisi koko järjestelmän kattava vaihtoehto alhaalta ylös-ASLR: lle, oletusarvoinen GUI-arvo ”Päällä oletuksena” ei heijasta taustalla olevaa rekisteriarvoa.

Tämä johtaa siihen, että ohjelmat, joilla ei ole / DYNAMICBASE, voivat siirtyä uudelleen ilman entropiaa. Ohjelmat siirretään samaan osoitteeseen joka kerta uudelleenkäynnistyksissä ja eri järjestelmissä.

Ratkaisu on, että sinun on luotava.reg-tiedosto seuraavalla tekstillä:

Windowsin rekisterieditorin versio 5.00

”MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Sitten sinun on tuotava tämä tiedosto rekisterieditoriin, ja kaikki tulisi selvittää.

Jotkut käyttäjät väittävät, että ongelma johtuu EMETistä ja sen korvaamisesta, joka on työkalu sysadminille, joilla on ”liikaa aikaa käsissään” ja jotka lopetettiin ilman korvaamista. He eivät usko, että ongelma on taustalla olevassa ASLR-järjestelmässä.

Windows 8, 8.1 ja 10 toteuttavat aslr-suojausominaisuuden väärin