Windows Üzerindeki Adres Alanı Yerleşimi Randomizasyonunun Uygulanması

CERT`deki güvenlik araştırmacıları, Windows 10, Windows 8,1 ve Windows 8`in, EMET veya Windows Defender Exploit Guard aracılığıyla sistem genelinde zorunlu ASLR`nin etkinleştirilmesi durumunda her uygulamayı düzgün bir şekilde randomize etmediklerini belirttiler. Microsoft, Microsoft Windows`ta Adres Alanı Yerleşim Düzeni (ASLR) uygulamasının amaçlandığı şekilde çalıştığını söyleyerek yanıt verdi. Bu konuya bir göz atalım.

ASLR

ASLR, Adres Alanı Mizanpajı Rastgelmesi olarak genişletildi, bu özellik Windows Vista ile ilk kez çıktı ve kod yeniden kullanım saldırılarını önlemek için tasarlandı. Saldırılar, öngörülebilir adreslerde çalıştırılabilir modüller yüklenerek engellenir ve böylece genellikle öngörülebilir yerlere yerleştirilen kodlara bağlı olan saldırıları azaltır. ASLR, genel olarak öngörülebilir bir yere yüklenen koda dayanan Geriye dönük programlama gibi sömürme teknikleriyle mücadele etmek için ince ayar yapmıştır. ASLR`nin başlıca olumsuz yönlerinden biri, / DYNAMICBASE bayrağı ile bağlantı kurması gerektiğidir.

Kullanım kapsamı

ASLR, uygulamaya karşı koruma sağlamıştır, ancak Sistem çapında azaltmaları kapsamaktadır. Aslında, bu nedenle Microsoft EMET`in serbest bırakılmış olması. EMET, hem sistem çapında hem de uygulamaya özel azaltmaları kapsadığından emin olmuştur. EMET, kullanıcılar için bir ön uç sunarak sistem çapında azaltımların yüzü olarak sona erdi. Ancak, Windows 10 Fall Creators güncellemesinden başlayarak EMET özellikleri Windows Defender Exploit Guard ile değiştirildi.

ASLR, hem EMET hem de Windows Defender Exploit Guard için / DYNAMICBASE bayrağıyla bağlantılı olmayan kodlar için zorunlu olarak etkinleştirilebilir ve bu, uygulama bazında veya sistem çapında bir temelde uygulanabilir. Bunun anlamı, Windows`un otomatik olarak geçici bir yer değiştirme tablosuna kod yerleştirmesi ve böylece kodun yeni konumunun her yeniden başlatma için farklı olacağı anlamına gelir. Windows 8`den başlayarak, tasarım değişiklikleri, sistem genelinde ASLR`nin zorunlu ASLR`ye entropi sağlamak için sistem genelinde aşağıdan ASLR`ye sahip olmasını zorunlu kılmıştır.

Sorun

ASLR her zaman daha etkilidir. entropi daha fazladır. Daha basit terimlerle entropi artışı, saldırgan tarafından araştırılması gereken arama alanı sayısını artırır. Ancak, hem EMET hem de Windows Defender Exploit Guard, sistem genelindeki ASLR`yi etkinleştirmeden sistem genelindeki ASLR`yi etkinleştirir. Bu olduğunda / DYNMICBASE olmayan programlar herhangi bir entropi olmaksızın yeniden konumlandırılacaktır. Daha önce de açıkladığımız gibi, entropinin yokluğu, saldırganlar için programın her seferinde aynı adresi yeniden başladığından bu yana daha kolay hale getirecektir.

Bu sorun şu anda sistem genelinde ASLR etkinleştirilmiş Windows 8, Windows 8.1 ve Windows 10`u etkiliyor. Windows Defender Exploit Guard veya EMET aracılığıyla. Adres yeniden yerleştirme, DYNAMICBASE olmayan bir doğası olduğundan, genellikle ASLR`nin avantajını geçersiz kılar.

Microsoft`un ne demesi gerekiyor

Microsoft hızlı bir şekilde geçmiştir ve halihazırda bir bildirimde bulunmuştur. Microsoft`taki insanlar şöyle demişti:

“CERT`nin gözlemlediği zorunlu ASLR`nin davranışı tasarım ve ASLR`nin istediği gibi çalışıyor. WDEG ekibi, aşağıdan yukarıya ASLR`nin sistem çapında etkin olmasını önleyen ve buna göre ele almak için çalışan yapılandırma sorununu araştırıyor. Bu sorun, yalnızca varolan bir Windows sürümüne varsayılan olmayan bir yapılandırma uygulanmaya çalışıldığında ortaya çıktığı için ek risk oluşturmaz. O zaman bile, etkili güvenlik postürü, varsayılan olarak sağlanandan daha kötü değildir ve bu yazıda anlatılan adımlar aracılığıyla konunun etrafında çalışmak son derece basittir. ”

İstenilen düzeye ulaşmada yardımcı olacak geçici çözümleri ayrıntılı olarak açıkladılar. güvenlik Zorunlu ASLR`yi etkinleştirmek isteyenler ve EXE`leri ASLR`ye geçmeyen süreçler için aşağıdan yukarıya rasgele hale getirmek isteyenler için iki geçici çözüm var.

1] Aşağıdakileri optin.reg içine kaydedin ve zorunlu ASLR ve aşağıdan yukarıya rasgele sistem bütünlüğünü sağlamak için içeri aktarın.

Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00

2] Program aracılığıyla zorunlu ASLR ve aşağıdan yukarıya rasgeleleştirmeyi etkinleştirin. WDEG veya EMET kullanarak belirli yapılandırma.

Microsoft dedi - Bu sorun, yalnızca varolan bir Windows sürümüne varsayılan olmayan bir yapılandırma uygulanmaya çalışırken ortaya çıktığı için ek risk oluşturmaz.