Windows 8 și 10 au un defect ASLR, iată cum îl puteți remedia
2 min. citit
Publicat în data de
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
A fost descoperită o nouă eroare de securitate pe Windows 8 și mai sus, care face ca ASLR să fie inutil. Bug-ul a fost descoperit de un cercetător de securitate pe nume Will Dormann. El a explicat problema într-o postare detaliată pe CERT:
Atât EMET, cât și Windows Defender Exploit Guard activează ASLR la nivelul întregului sistem fără a activa și ASLR de jos în sus la nivelul întregului sistem. Deși Windows Defender Exploit Guard are o opțiune la nivel de sistem pentru ASLR de jos în sus la nivel de sistem, valoarea implicită a GUI „Activat în mod implicit” nu reflectă valoarea de registru subiacentă (dezactivată). Acest lucru face ca programele fără /DYNAMICBASE să fie relocate, dar fără nicio entropie. Rezultatul este că astfel de programe vor fi relocate, dar la aceeași adresă de fiecare dată la reporniri și chiar în sisteme diferite.
Pentru cei care nu știu, Microsoft a implementat mai întâi ASLR (Address Space Layout Randomization) în Windows Vista, care ajută la prevenirea atacurilor de reutilizare a codului. ASLR folosește o adresă de memorie aleatorie pentru a executa codul, dar în Windows 8, Windows 8.1 și Windows 10, caracteristica nu este întotdeauna aplicată corect. În Windows 8, 8.1 și Windows 10, ASLR nu folosește adrese de memorie aleatoare, ceea ce o face în esență inutilă.
De fapt, cu Windows 7 și ASLR la nivel de sistem EMET, adresa încărcată pentru eqnedt32.exe este diferită la fiecare repornire. Dar cu Windows 10 fie cu EMET, fie cu WDEG, baza pentru eqnedt32.exe este 0x10000 DE FIECARE DATA.
Concluzie: Win10 nu poate fi aplicat ASLR la fel de bine ca Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) Noiembrie 15, 2017
Lucrul bun este însă că Will a distribuit o editare manuală a registrului pentru a remedia problema. Pentru aceasta, trebuie să faceți următoarele.
- Creați un fișier text cu următoarele: Windows Registry Editor Versiunea 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
„MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Salvați fișierul cu extensia Registry (.reg)
- Deschideți Registry Editor tastând „regedit” în meniul Start
- Selectați Fișier>Import și alegeți fișierul .reg pe care tocmai l-ați creat.
Acest lucru ar trebui să poată remedia problema până când Microsoft trimite o actualizare pentru a o remedia complet.
S Bit-tech