Implementasi Pengacakan Tata Letak Ruang Alamat pada Windows

Peneliti keamanan di CERT telah menyatakan bahwa Windows 10, Windows 8.1 dan Windows 8 gagal mengacak setiap aplikasi jika ASLR wajib di seluruh sistem diaktifkan melalui EMET atau Windows Defender Exploit Guard. Microsoft telah menanggapi dengan mengatakan bahwa implementasi Address Space Layout Randomization (ASLR) pada Microsoft Windows berfungsi sebagaimana dimaksud. Mari kita lihat masalah ini.

Apa itu ASLR

ASLR diperluas sebagai Address Space Layout Randomisation, fitur tersebut melakukan debut dengan Windows Vista dan dirancang untuk mencegah serangan yang menggunakan kode kembali. Serangan tersebut dicegah dengan memuat modul yang dapat dieksekusi di alamat yang tidak dapat diprediksi sehingga mengurangi serangan yang biasanya bergantung pada kode yang ditempatkan di lokasi yang dapat diprediksi. ASLR baik-baik saja untuk memerangi teknik mengeksploitasi seperti pemrograman berorientasi-kembali yang bergantung pada kode yang umumnya dimuat ke dalam lokasi yang dapat diprediksi. Itu selain salah satu kelemahan utama ASLR adalah bahwa hal itu perlu dihubungkan dengan / DYNAMICBASE bendera.

Cakupan penggunaan

ASLR menawarkan perlindungan terhadap aplikasi, tetapi tidak menutupi mitigasi sistem-lebar. Bahkan, untuk alasan inilah Microsoft EMET dirilis. EMET memastikan bahwa itu mencakup mitigasi baik di seluruh sistem maupun aplikasi. EMET berakhir sebagai wajah mitigasi sistem-lebar dengan menawarkan front-end bagi pengguna. Namun, mulai dari Windows 10 Fall Creators memperbarui fitur EMET telah diganti dengan Windows Defender Exploit Guard.

ASLR dapat diaktifkan secara wajib untuk EMET, dan Windows Defender Exploit Guard untuk kode yang tidak terkait dengan / DYNAMICBASE flag dan ini dapat diimplementasikan baik pada basis per-aplikasi atau basis sistem-lebar. Apa artinya ini adalah Windows akan secara otomatis merelokasi kode ke tabel relokasi sementara dan dengan demikian lokasi baru kode akan berbeda untuk setiap reboot. Mulai dari Windows 8, perubahan desain mengamanatkan bahwa ASLR di seluruh sistem harus memiliki ASLR bottom-up yang dimungkinkan untuk memasok entropi ke ASLR wajib.

Masalah

ASLR selalu lebih efektif ketika entropi lebih. Dalam hal yang jauh lebih sederhana, peningkatan entropi meningkatkan jumlah ruang pencarian yang perlu dieksplorasi oleh penyerang. Namun, keduanya, EMET dan Windows Defender Exploit Guard memungkinkan ASLR di seluruh sistem tanpa mengaktifkan ASLR di bagian bawah sistem yang luas. Ketika ini terjadi program tanpa / DYNMICBASE akan dipindahkan tetapi tanpa entropi. Seperti yang kami jelaskan sebelumnya tidak adanya entropi akan membuatnya relatif lebih mudah bagi penyerang karena program akan mereboot alamat yang sama setiap waktu.

Masalah ini saat ini mempengaruhi Windows 8, Windows 8.1 dan Windows 10 yang memiliki ASLR di seluruh sistem diaktifkan melalui Windows Expender Expender Guard atau EMET. Karena alamat relokasi adalah non-DINAMISBASE di alam, itu biasanya menimpa keuntungan ASLR.

Apa yang Microsoft katakan

Microsoft telah cepat dan telah mengeluarkan pernyataan. Ini adalah apa yang orang-orang di Microsoft harus katakan,

"Perilaku ASLR wajib yang diamati CERT adalah dengan desain dan ASLR bekerja sebagaimana dimaksud. Tim WDEG sedang menyelidiki masalah konfigurasi yang mencegah pengaktifan sistem ASLR dari bawah ke atas dan bekerja untuk mengatasinya. Masalah ini tidak menimbulkan risiko tambahan karena hanya terjadi ketika mencoba menerapkan konfigurasi non-default ke versi Windows yang sudah ada. Meskipun demikian, postur keamanan yang efektif tidak lebih buruk daripada yang disediakan secara default dan sangat mudah untuk mengatasi masalah ini melalui langkah-langkah yang dijelaskan dalam posting ini ”

Mereka secara khusus merinci solusi yang akan membantu dalam mencapai tingkat yang diinginkan. keamanan. Ada dua solusi untuk mereka yang ingin mengaktifkan ASLR wajib dan pengacakan bottom-up untuk proses yang EXE tidak ikut serta ke ASLR.

1] Simpan yang berikut ke optin.reg dan impor untuk mengaktifkan ASLR wajib dan sistem pengacakan bottom-up.

Windows Registry Editor Versi 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigasiOptions" = hex: 00,01,02,00,00,00,00,00,00,00,00,00,00

2] Aktifkan ASLR wajib dan pengacakan bottom-up melalui program- konfigurasi spesifik menggunakan WDEG atau EMET.

Kata Microsoft - Masalah ini tidak menimbulkan risiko tambahan karena hanya terjadi ketika mencoba menerapkan konfigurasi non-default ke versi Windows yang ada.