Week 10
Cercetatorii de securitate de la CERT au declarat că Windows 10, Windows și Windows 8 8,1 nu randomizarea în mod corespunzător în fiecare aplicație în cazul în care la nivel de sistem obligatoriu ASLR este activat prin intermediul EMET sau Windows Defender Exploit Guard. Microsoft a răspuns prin a spune că implementarea Randomization Layout Space Layout (ASLR) pe Microsoft Windows funcționează conform destinației. Să ne aruncăm o privire la problema.
ASLR este extins ca spațiul de adrese Layout randomizare, caracteristica a făcut un debut cu Windows Vista și este proiectat pentru a preveni atacurile de cod de reutilizare. Atacurile sunt împiedicate prin încărcarea modulelor executabile la adrese non-previzibile, reducând astfel atacurile care depind de obicei de codul plasat în locații previzibile. ASLR este bine reglat pentru combaterea tehnicilor de exploatare precum programarea orientată spre returnare, care se bazează pe un cod care este în general încărcat într-o locație previzibilă. Că în afară una dintre cele mai importante dezavantajele ale ASLR este că aceasta trebuie să fie legat cu / DYNAMICBASE pavilion.
Domeniul de utilizare
The ASLR a oferit protecție la cererea, dar nu a făcut-o acoperă atenuarea la nivel de sistem. De fapt, din acest motiv a fost lansat Microsoft EMET. EMET a asigurat că acoperă atât diminuările la nivel de sistem, cât și aplicațiile specifice. EMET a devenit capul atenuării sistemelor prin oferirea unui front-end pentru utilizatori. Cu toate acestea, pornind de la Windows 10 Creatori Fall actualiza caracteristicile Emet au fost înlocuite cu Windows Defender Exploatează Guard.
The ASLR poate fi activată în mod obligatoriu pentru ambele Emet și Windows Defender Exploit Garda de coduri care nu sunt legate de / de pavilion DYNAMICBASE iar acest lucru poate fi implementat fie pe bază de cerere, fie pe bază de sistem. Ce înseamnă acest lucru este că Windows va muta automat codul într-o tabelă de relocare temporară și astfel noua locație a codului va fi diferită pentru fiecare repornire. Pornind de la Windows 8, modificările de design mandatat că ASLR la nivel de sistem ar trebui să aibă ASLR de jos în sus la nivel de sistem activat pentru a furniza entropie la ASLR obligatorii.
Problema
ASLR este întotdeauna mai eficient atunci când entropia este mai mult. În termeni mult mai simpli, creșterea entropiei mărește numărul de spațiu de căutare care trebuie să fie explorat de atacator. Cu toate acestea, ambele, EMET și Windows Defender Exploit Guard permit ASLR la nivel de sistem fără a lăsa ASLR la nivelul sistemului în sus. Când se întâmplă acest lucru, programele fără / DYNMICBASE vor fi mutate, dar fără entropie. Așa cum am explicat mai devreme, absența entropiei ar face-o relativ mai ușoară pentru atacatori, deoarece programul va reporni aceeași adresă de fiecare dată.
Această problemă afectează în prezent Windows 8, Windows 8.1 și Windows 10 care au activat ASLR la nivel de sistem prin intermediul Windows Defender Exploit Guard sau EMET. Deoarece relocarea adresei este non-DYNAMICBASE în natură, ea suprapune de obicei avantajul ASLR.
Ceea ce Microsoft are de spus
Microsoft a fost rapid și a emis deja o declarație. Așa au spus cei de la Microsoft,
"Comportamentul ASLR obligatoriu pe care CERT a observat-o prin design și ASLR funcționează conform destinației. Echipa WDEG investighează problema de configurare care împiedică activarea sistemului ASLR de jos în sus și se străduiește să o soluționeze în consecință. Această problemă nu creează un risc suplimentar, deoarece apare numai atunci când încercați să aplicați o configurație non-implicită versiunilor existente ale Windows. Chiar și atunci, poziția de securitate eficace nu este mai rău decât ceea ce este oferit implicit și este simplu să rezolvăm problema prin pașii descriși în acest post "
Ei au detaliat în mod specific soluțiile care vor ajuta la atingerea nivelului dorit de securitate. Există două soluții pentru cei care ar dori să permită o ASLR obligatorie și o randomizare de jos în sus pentru procesele ale căror EXE nu sa optat pentru ASLR
1] Salvați următoarele în optin.reg și importați-l pentru a activa sistemarea obligatorie ASLR și de tip "bottom-up" la nivel de sistem.
Windows Registry Editor versiunea 5.00 [MKE] = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Activați ASLR obligatoriu și randomizare de jos în sus prin intermediul programului- specifică de configurare utilizând WDEG sau EMET
Said Microsoft - Această problemă nu creează un risc suplimentar, deoarece apare numai atunci când încercați să aplicați o configurație non-implicită versiunilor existente ale Windows
ÎN încercarea de a compensa greșelile din trecut, Microsoft permite profesioniștilor din domeniul tehnologiei informației și aproape oricui altcineva să descarce o încercare gratuită de 90 de zile a Windows 7 Ediția pentru întreprinderi. Mulți profesioniști IT au deja Windows 7 pentru a testa noul sistem de operare pentru compatibilitatea cu aplicațiile, hardware-ul și implementarea, chiar dacă noul sistem de operare nu va fi lansat oficial până pe 22 octombrie. Dar unele departamente IT nu pot
Microsoft avertizează că studiul este destinat numai profesioniștilor IT și nu recomandă consumatorilor obișnuiți să se alăture versiunii întreprinderii. Dar Microsoft nu face aproape nici un efort pentru a verifica faptul că doar profesioniștii IT descarcă versiunea de testare, ceea ce înseamnă că oricine poate obține cu adevărat mâna pe procesul de testare Windows 7.
Implementarea Ghidului esențial al Windows 7 din Windows 7 Resource Kit și revista TechNet de la Microsoft
Descărcați noua carte electronică: Implementarea Windows 7 Essential Guidance from Windows 7 Resource Kit și Magazine Microsoft TechNet
Cum se poate afla adresa IP în Windows: Căutare adresă Ip
Care este adresa IP? Cum de a afla adresa IP? Utilizatorii de Windows 10/8/7 / Vista pot afla adresa IP prin accesarea panoului de control.