I ricercatori di sicurezza del CERT hanno affermato che Windows 10, Windows 8,1 e Windows 8 non riescono a randomizzare correttamente ogni applicazione se l'ASLR obbligatorio di sistema è abilitato tramite EMET o Windows Defender Exploit Guard. Microsoft ha risposto dicendo che l'implementazione di Address Space Layout Randomization (ASLR) su Microsoft Windows funziona come previsto. Diamo un'occhiata al problema.
Cos'è l'ASLR
ASLR è stato ampliato come Randomizzazione dello spazio degli indirizzi, la funzionalità ha fatto il suo debutto con Windows Vista ed è progettata per prevenire attacchi di riutilizzo del codice. Gli attacchi vengono evitati caricando i moduli eseguibili a indirizzi non prevedibili attenuando così gli attacchi che di solito dipendono dal codice posto in posizioni prevedibili. L'ASLR è messo a punto per combattere tecniche di exploit come la programmazione orientata al ritorno che si basa su un codice generalmente caricato in una posizione prevedibile. Questo a parte uno dei principali aspetti negativi dell'ASLR è che deve essere collegato con / DYNAMICBASE bandiera.
Ambito di utilizzo
L'ASLR offriva protezione all'applicazione, ma non copriva le attenuazioni a livello di sistema. Di fatto, è per questo motivo che Microsoft EMET è stato rilasciato. EMET ha assicurato che riguardava sia le attenuazioni su tutto il sistema che quelle specifiche per le applicazioni. EMET è diventato il volto di mitigazioni a livello di sistema offrendo un front-end per gli utenti. Tuttavia, a partire dall'aggiornamento di Windows 10 Fall Creators, le funzionalità di EMET sono state sostituite da Windows Defender Exploit Guard.
L'ASLR può essere abilitato obbligatoriamente per EMET e Windows Defender Exploit Guard per i codici che non sono collegati a / DYNAMICBASE e può essere implementato sia su base applicativa che su base di sistema. Ciò significa che Windows trasferirà automaticamente il codice su una tabella di rilocazione temporanea e quindi la nuova posizione del codice sarà diversa per ogni riavvio. A partire da Windows 8, le modifiche di progettazione impongono che l'ASLR a livello di sistema disponga di ASLR bottom-up a livello di sistema abilitato per fornire entropia all'ASLR obbligatorio.
Il problema
ASLR è sempre più efficace quando l'entropia è più. In termini molto più semplici, l'aumento di entropia aumenta il numero di spazi di ricerca che devono essere esplorati dall'attaccante. Tuttavia, entrambi, EMET e Windows Defender Exploit Guard abilitano l'ASLR a livello di sistema senza abilitare ASLR bottom-up a livello di sistema. Quando ciò accade, i programmi senza / DYNMICBASE verranno trasferiti ma senza alcuna entropia. Come abbiamo spiegato in precedenza, l'assenza di entropia renderebbe relativamente più semplice per gli aggressori poiché il programma riavvierà sempre lo stesso indirizzo.
Questo problema interessa attualmente Windows 8, Windows 8.1 e Windows 10 che dispongono di un ASLR a livello di sistema abilitato tramite Windows Defender Exploit Guard o EMET. Poiché il riposizionamento degli indirizzi è di natura non DINANZIENTALE, generalmente sostituisce il vantaggio dell'ASLR.
Cosa Microsoft ha da dire
Microsoft è stata veloce e ha già rilasciato una dichiarazione. Questo è ciò che la gente di Microsoft ha da dire,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Hanno specificato in dettaglio le soluzioni alternative che aiuteranno a raggiungere il livello desiderato di sicurezza. Esistono due soluzioni alternative per coloro che desiderano abilitare l'ASLR obbligatorio e la randomizzazione bottom-up per i processi il cui EXE non ha attivato l'ASLR.
1] Salvare quanto segue in optin.reg e importarlo per abilitare l'ASLR obbligatorio e la randomizzazione bottom-up a livello di sistema.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Abilita l'ASLR obbligatorio e la randomizzazione bottom-up tramite la configurazione specifica del programma utilizzando WDEG o EMET.
