Windows 8 in 10 imata napako ASLR, tukaj je opisano, kako jo lahko popravite
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
V operacijskem sistemu Windows 8 in novejših je bila odkrita nova varnostna napaka, zaradi katere je ASLR neuporaben. Napako je odkril varnostni raziskovalec Will Dormann. Težavo je pojasnil v podrobni objavi na CERT:
Tako EMET kot Windows Defender Exploit Guard omogočata ASLR za celoten sistem, ne da bi omogočila tudi sistemski ASLR od spodaj navzgor. Čeprav ima zaščita pred izkoriščanjem programa Windows Defender možnost za celosistemski sistem od spodaj navzgor za ASLR, privzeta vrednost GUI »Privzeto vklopljena« ne odraža osnovne vrednosti registra (nenastavljena). To povzroči, da se programi brez /DYNAMICBASE premaknejo, vendar brez entropije. Posledica tega je, da bodo takšni programi prestavljeni, vendar na isti naslov vsakič med ponovnimi zagoni in celo v različnih sistemih.
Za tiste, ki ne vedo, je Microsoft najprej implementiral ASLR (naključno razporeditev naslovnega prostora) v operacijskem sistemu Windows Vista, ki pomaga preprečevati napade ponovne uporabe kode. ASLR za izvajanje kode uporablja naključni pomnilniški naslov, vendar v sistemih Windows 8, Windows 8.1 in Windows 10 ta funkcija ni vedno pravilno uporabljena. V sistemih Windows 8, 8.1 in Windows 10 ASLR ne uporablja naključnih pomnilniških naslovov, zaradi česar je v bistvu neuporaben.
Pravzaprav je pri sistemu Windows 7 in EMET System-wide ASLR naloženi naslov za eqnedt32.exe ob vsakem ponovnem zagonu drugačen. Toda v sistemu Windows 10 z EMET ali WDEG je osnova za eqnedt32.exe VSAK ČAS 0x10000.
Zaključek: Win10 ne more uveljavljati ASLR tako dobro kot Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) November 15, 2017
Dobra stvar pa je, da je Will delil ročno urejanje registra za odpravo težave. Za to morate narediti naslednje.
- Ustvarite besedilno datoteko z naslednjim: urejevalnik registra Windows različice 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“Opcije ublažitve”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Shranite datoteko s pripono registra (.reg)
- Odprite urejevalnik registra tako, da v meniju Start vnesete "regedit".
- Izberite Datoteka>Uvozi in izberite datoteko .reg, ki ste jo pravkar ustvarili.
To bi moralo odpraviti težavo, dokler Microsoft ne pošlje posodobitve, da jo v celoti odpravi.
Via: Bit-tech
