Zachowanie ASLR w systemie Windows 10 to funkcja: Microsoft
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Niedawno zgłaszane o luce ASLR, którą odkrył badacz bezpieczeństwa Will Dormann z Carnegie Mellon University.
Powiedział :
Zarówno EMET, jak i Windows Defender Exploit Guard umożliwiają ASLR dla całego systemu bez włączania ASLR dla całego systemu oddolnego. Chociaż funkcja Windows Defender Exploit Guard ma ogólnosystemową opcję oddolnego ASLR dla całego systemu, domyślna wartość GUI „Domyślnie włączone” nie odzwierciedla podstawowej wartości rejestru (nieustawiona). Powoduje to relokację programów bez /DYNAMICBASE, ale bez entropii. W wyniku tego takie programy zostaną przeniesione, ale za każdym razem pod ten sam adres podczas ponownego uruchamiania, a nawet w różnych systemach.
Ale w odpowiedzi na twierdzenia Dormanna, Matt Miller z Microsoftu powiedział to w poście na blogu o nazwie Wyjaśnienie zachowania obowiązkowego ASLR :
Krótko mówiąc, ASLR działa zgodnie z przeznaczeniem, a problem z konfiguracją omówiony przez CERT/CC dotyczy tylko aplikacji, w których EXE nie akceptuje jeszcze ASLR. Problem z konfiguracją nie stanowi luki w zabezpieczeniach, nie stwarza dodatkowego ryzyka i nie osłabia istniejącego stanu bezpieczeństwa aplikacji.
CERT/CC zidentyfikował problem z interfejsem konfiguracyjnym programu Windows Defender Exploit Guard (WDEG), który obecnie uniemożliwia włączenie randomizacji oddolnej w całym systemie. Zespół WDEG aktywnie to bada i odpowiednio rozwiąże ten problem.
ASLR lub Address Space Layout Randomization służy do randomizacji adresów pamięci używanych przez pliki exe i DLL, aby atakujący nie mógł skorzystać z przepełnienia pamięci.
Aby sprawdzić, czy ASLR działa na twoim komputerze, uruchom to (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) narzędzie narzędziowe firmy Microsoft.
