Správanie ASLR v systéme Windows 10 je funkcia: Microsoft
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Nedávno sme hlásené o chybe ASLR, ktorú objavil bezpečnostný výskumník Will Dormann z Carnegie Mellon University.
Povedal :
EMET aj Windows Defender Exploit Guard umožňujú celosystémové ASLR bez toho, aby umožňovali aj celosystémové ASLR zdola nahor. Hoci Windows Defender Exploit guard má celosystémovú možnosť pre systém zdola nahor ASLR v celom systéme, predvolená hodnota GUI „Predvolene zapnuté“ neodráža základnú hodnotu registra (nenastavená). To spôsobí, že programy bez /DYNAMICBASE sa premiestnia, ale bez akejkoľvek entropie. Výsledkom toho je, že takéto programy budú premiestnené, ale vždy na rovnakú adresu počas reštartov a dokonca aj medzi rôznymi systémami.
Ale v odpovedi na Dormannove tvrdenia to Matt Miller z Microsoftu hovorí v blogovom príspevku s názvom Objasnenie správania povinných ASLR :
Stručne povedané, ASLR funguje tak, ako má, a problém s konfiguráciou opísaný v CERT/CC sa týka iba aplikácií, kde sa EXE ešte neprihlásil do ASLR. Problém s konfiguráciou nepredstavuje zraniteľnosť, nevytvára dodatočné riziko a neoslabuje existujúcu bezpečnostnú pozíciu aplikácií.
CERT/CC identifikovali problém s konfiguračným rozhraním programu Windows Defender Exploit Guard (WDEG), ktorý v súčasnosti bráni povoleniu randomizácie zdola nahor v celom systéme. Tím WDEG to aktívne vyšetruje a podľa toho bude problém riešiť.
ASLR alebo Randomizácia rozloženia adresného priestoru sa používa na náhodné usporiadanie adries pamäte používanej súbormi exe a súbormi DLL, aby útočník nemohol využiť pretečenie pamäte.
Ak chcete overiť fungovanie ASLR na vašom počítači, spustite toto (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) pomocný nástroj od spoločnosti Microsoft.
