A Windows 8 és 10 rendszerben ASLR hibája van, a következőképpen javíthatja ki
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Új biztonsági hibát fedeztek fel a Windows 8 és újabb rendszereken, ami használhatatlanná teszi az ASLR-t. A hibát egy Will Dormann nevű biztonsági kutató fedezte fel. A kérdést részletesen kifejtette a CERT-en:
Mind az EMET, mind a Windows Defender Exploit Guard lehetővé teszi a rendszerszintű ASLR-t anélkül, hogy az egész rendszerre kiterjedő, alulról felfelé irányuló ASLR-t is engedélyezne. Bár a Windows Defender Exploit Guard rendelkezik egy rendszerszintű opcióval az egész rendszerre kiterjedő, alulról felfelé irányuló ASLR-hez, az alapértelmezett grafikus felhasználói felület „Alapértelmezés szerint be” értéke nem tükrözi a mögöttes rendszerleíró adatbázis értékét (nem beállítva). Emiatt a /DYNAMICBASE nélküli programok áthelyeződnek, de entrópia nélkül. Ennek az az eredménye, hogy az ilyen programok áthelyezésre kerülnek, de minden újraindításkor ugyanarra a címre, sőt akár különböző rendszerekre is.
Azok számára, akik nem ismerik, a Microsoft először telepítette az ASLR-t (Address Space Layout Randomization) a Windows Vista rendszerben, amely segít megelőzni a kód-újrafelhasználási támadásokat. Az ASLR véletlenszerű memóriacímet használ a kód végrehajtásához, de a Windows 8, Windows 8.1 és Windows 10 rendszerben a funkció nem mindig kerül megfelelően alkalmazásra. A Windows 8, 8.1 és Windows 10 rendszerben az ASLR nem használ véletlenszerű memóriacímeket, így lényegében használhatatlanná teszi azt.
Valójában a Windows 7 és az EMET rendszerszintű ASLR esetén az eqnedt32.exe betöltött címe minden újraindításkor más. De az EMET vagy WDEG funkcióval rendelkező Windows 10 esetén az eqnedt32.exe alapja MINDEN alkalommal 0x10000.
Következtetés: A Win10 nem kényszeríthető ki úgy ASLR-re, mint a Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) November 15, 2017
A jó dolog azonban az, hogy Will megosztott egy manuális beállításjegyzék-szerkesztést a probléma megoldásához. Ehhez a következőket kell tennie.
- Hozzon létre egy szöveges fájlt a következővel: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
„MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Mentse el a fájlt Registry kiterjesztéssel (.reg)
- Nyissa meg a Rendszerleíróadatbázis-szerkesztőt a „regedit” parancs beírásával a Start menüben
- Válassza a Fájl>Importálás lehetőséget, és válassza ki az imént létrehozott .reg fájlt.
Ennek meg kell tudnia oldani a problémát mindaddig, amíg a Microsoft frissítést nem küld a teljes megoldás érdekében.
Keresztül: Bit-tech