Windows 8 và 10 có lỗ hổng ASLR, đây là cách bạn có thể khắc phục
2 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Một lỗi bảo mật mới đã được phát hiện trên Windows 8 trở lên khiến ASLR trở nên vô dụng. Lỗi được phát hiện bởi một nhà nghiên cứu bảo mật tên là Will Dormann. Anh ấy đã giải thích vấn đề này trong một bài đăng chi tiết trên CERT:
Cả EMET và Windows Defender Exploit Guard đều bật ASLR toàn hệ thống mà không bật ASLR từ dưới lên trên toàn hệ thống. Mặc dù tính năng bảo vệ Khai thác của Bộ bảo vệ Windows có tùy chọn toàn hệ thống cho ASLR từ dưới lên trên toàn hệ thống, giá trị GUI mặc định của “Bật theo mặc định” không phản ánh giá trị đăng ký cơ bản (chưa được đặt). Điều này làm cho các chương trình không có / DYNAMICBASE được chuyển vị trí, nhưng không có bất kỳ entropy nào. Kết quả của việc này là các chương trình như vậy sẽ được di dời, nhưng đến cùng một địa chỉ mọi lúc khi khởi động lại và thậm chí trên các hệ thống khác nhau.
Đối với những ai chưa biết, Microsoft lần đầu tiên triển khai ASLR (Địa chỉ bố trí không gian ngẫu nhiên) trong Windows Vista giúp ngăn chặn các cuộc tấn công tái sử dụng mã. ASLR sử dụng địa chỉ bộ nhớ ngẫu nhiên để thực thi mã, nhưng trong Windows 8, Windows 8.1 và Windows 10, tính năng này không phải lúc nào cũng được áp dụng đúng cách. Trong Windows 8, 8.1 và Windows 10, ASLR không sử dụng địa chỉ bộ nhớ ngẫu nhiên, về cơ bản khiến nó trở nên vô dụng.
Trên thực tế, với ASLR trên toàn hệ thống của Windows 7 và EMET, địa chỉ được tải cho eqnedt32.exe sẽ khác nhau trong mỗi lần khởi động lại. Nhưng với Windows 10 có EMET hoặc WDEG, cơ sở cho eqnedt32.exe là 0x10000 MỌI LÚC.
Kết luận: Win10 không thể thực thi ASLR cũng như Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) Tháng Mười Một 15, 2017
Tuy nhiên, điều tốt là Will đã chia sẻ một Chỉnh sửa sổ đăng ký thủ công để khắc phục sự cố. Đối với điều này, bạn cần phải làm như sau.
- Tạo tệp văn bản bằng tệp sau: Windows Registry Editor Phiên bản 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ kernel]
“MitigationOptions” = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Lưu tệp với phần mở rộng Registry (.reg)
- Mở Registry Editor bằng cách gõ “regedit” vào Start Menu
- Chọn Tệp> Nhập và chọn tệp .reg bạn vừa tạo.
Điều này sẽ có thể khắc phục sự cố cho đến khi Microsoft gửi bản cập nhật để khắc phục hoàn toàn.
Via: Công nghệ bit