Осторожно: Windows неправильно реализует ASLR, исправление доступно

Начиная с Vista, Windows поставляется с рандомизацией разметки адресного пространства (ASLR). ASLR – это метод компьютерной безопасности, используемый для предотвращения эксплуатации уязвимостей, связанных с повреждением памяти. Чтобы злоумышленник не мог надежно перейти, например, к определенной эксплуатируемой функции в памяти, ASLR случайным образом упорядочивает позиции адресного пространства областей ключевых данных процесса, включая базу исполняемого файла и позиции стека, кучи и библиотеки. В Windows 8 и более поздних версиях есть ошибка, которая делает этот метод бесполезным, но вы можете ее исправить.

Функция ASLR (рандомизация адресного пространства) была впервые представлена ​​в Windows Vista. Это позволяет предотвратить атаки с повторным использованием кода. ASLR предоставляет случайный адрес памяти для выполнения кода.

В Windows 8, Windows 8.1 и Windows 10 функция ASLR не работает должным образом. Из-за неправильной конфигурации по умолчанию ASLR не использует случайные адреса памяти.

Обновление: есть официальная запись в блоге на Technet, в которой объясняется это положение. Прочтите здесь: Уточнение поведения обязательного ASLR .

В сообщении говорится:

Проблема конфигурации не является уязвимостью, не создает дополнительного риска и не ослабляет существующее состояние безопасности приложений.

Сообщение на CERT подробно объясняет проблему.

И EMET, и Exploit Guard в Защитнике Windows включают общесистемный ASLR без включения общесистемного восходящего ASLR. Хотя защита от эксплойтов Защитника Windows имеет общесистемную опцию восходящего ASLR для всей системы, значение GUI по умолчанию «Включено по умолчанию» не отражает базовое значение реестра (не задано). Это приводит к перемещению программ без/DYNAMICBASE, но без энтропии. В результате такие программы будут перемещаться, но на один и тот же адрес каждый раз при перезагрузке и даже в разных системах.

К счастью, проблему легко решить.

Исправьте ASLR в Windows 8, Windows 8.1 и Windows 10

  1. Откройте приложение редактора реестра.
  2. Перейти к следующему ключу реестра.
     HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet  Control  Session Manager  kernel 

    Узнайте, как перейти к разделу реестра одним щелчком мыши.

  3. Справа создайте новое значение REG_BINARY с именем MitigationOptions и установите его данные значения на
     00,01,01,00,00,00,00,00,00,00,00,00  , 00,00,00,00,00 

  4. Чтобы изменения, внесенные настройкой реестра, вступили в силу, перезапустите Windows 10.

Чтобы сэкономить время, вы можете загрузить следующую настройку реестра:

Загрузить настройку реестра

Оцените статью
digitdocom.ru
Добавить комментарий