Implementación de la asignación aleatoria del espacio de direcciones en Windows

Tabla de contenido:

Video: Implementación de la asignación aleatoria del espacio de direcciones en Windows

Video: Implementación de la asignación aleatoria del espacio de direcciones en Windows
Video: SISTEMAS OPERATIVOS MÓVILES que MURIERON 📱 ¿Por que NO hay COMPETENCIA para Android e IOS? 2024, Marcha
Implementación de la asignación aleatoria del espacio de direcciones en Windows
Implementación de la asignación aleatoria del espacio de direcciones en Windows
Anonim

Los investigadores de seguridad de CERT han declarado que Windows 10, Windows 8,1 y Windows 8 no pueden aleatorizar correctamente cada aplicación si el ASLR obligatorio en todo el sistema está habilitado a través de EMET o Windows Defender Exploit Guard. Microsoft ha respondido diciendo que la implementación de Asignación aleatoria del diseño del espacio de direcciones (ASLR) en Microsoft Windows está funcionando como es debido. Echemos un vistazo a la cuestión.

Image
Image

¿Qué es ASLR?

ASLR se ha expandido como asignación aleatoria del diseño del espacio de direcciones, la característica hizo su debut con Windows Vista y está diseñada para evitar ataques de reutilización de código. Los ataques se evitan al cargar módulos ejecutables en direcciones no predecibles, lo que mitiga los ataques que generalmente dependen del código ubicado en ubicaciones predecibles. ASLR está optimizado para combatir técnicas de explotación como la programación orientada al retorno, que se basa en el código que generalmente se carga en una ubicación predecible. Eso, aparte de uno de los principales inconvenientes del ASLR, es que debe estar vinculado con / DINAMICBASE bandera.

Alcance de uso

El ASLR ofreció protección a la aplicación, pero no cubrió las mitigaciones de todo el sistema. De hecho, es por esta razón que Microsoft EMET fue lanzado. EMET se aseguró de que cubriera las mitigaciones específicas del sistema y de la aplicación. El EMET terminó como la cara de las mitigaciones de todo el sistema al ofrecer una interfaz para los usuarios. Sin embargo, a partir de la actualización de Windows 10 Fall Creators, las características de EMET han sido reemplazadas por Windows Defender Exploit Guard.

El ASLR se puede habilitar obligatoriamente tanto para EMET, como para Windows Defender Exploit Guard para códigos que no están vinculados al indicador / DYNAMICBASE y esto puede implementarse por aplicación o por todo el sistema. Lo que esto significa es que Windows reubicará automáticamente el código en una tabla de reubicación temporal y, por lo tanto, la nueva ubicación del código será diferente para cada reinicio. A partir de Windows 8, los cambios de diseño obligaron a que el ASLR de todo el sistema debería tener ASLR ascendente de todo el sistema habilitado para poder suministrar entropía al ASLR obligatorio.

El problema

ASLR siempre es más efectivo cuando la entropía es más. En términos mucho más simples, el aumento en la entropía aumenta la cantidad de espacio de búsqueda que necesita ser explorado por el atacante. Sin embargo, tanto EMET como Windows Defender Exploit Guard habilitan ASLR en todo el sistema sin habilitar ASLR de abajo hacia arriba en todo el sistema. Cuando esto suceda, los programas sin / DYNMICBASE se reubicarán pero sin ninguna entropía. Como explicamos anteriormente, la ausencia de entropía haría que sea relativamente más fácil para los atacantes, ya que el programa reiniciará la misma dirección cada vez.

Este problema afecta actualmente a Windows 8, Windows 8.1 y Windows 10 que tienen un ASLR de todo el sistema habilitado a través de Windows Defender Exploit Guard o EMET. Debido a que la reubicación de la dirección no es de naturaleza DINÁMICA, generalmente anula la ventaja de ASLR.

Lo que Microsoft tiene que decir

Microsoft ha sido rápido y ya ha emitido una declaración. Esto es lo que la gente de Microsoft tenía que decir,

“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”

Han detallado específicamente las soluciones que ayudarán a lograr el nivel de seguridad deseado. Hay dos soluciones alternativas para aquellos que desean habilitar el ASLR obligatorio y la aleatorización de abajo hacia arriba para los procesos cuyo EXE no se inscribió en ASLR.

1] Guarde lo siguiente en optin.reg e impórtelo para habilitar ASLR obligatorio y aleatorización ascendente en todo el sistema.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Habilite el ASLR obligatorio y la asignación aleatoria ascendente a través de la configuración específica del programa utilizando WDEG o EMET.

Recomendado: