Windows 8 і пізніші версії ОС некоректно використовують захист ASLR


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Windows 8 і наступні версії Windows не можуть правильно застосовувати ASLR, що робить цю важливу функцію безпеки Windows даремною. Аналітик з уразливостей із CERT/CC Уілл Дорман, вивчаючи нещодавно виявлену вразливість редактора рівнянь Microsoft Office, виявив, що ASLR у певних умовах не виділяла пам’ять для двійкових файлів додатків випадковим чином.

ASLR виходить з ладу через змінене значення реєстру

Згідно зі словами Дормана, коли користувачі включили загальносистемний захист ASLR, помилка в реалізації цієї функції на Windows 8 і в пізніших версіях не привела б до створення достатньої ентропії (випадкових даних) для запуску бінарних файлів додатків у випадкових елементах пам’яті. Дорман повідомив:

У результаті такі програми переміщуватимуться в пам’яті, але “маршрут” залишиться незмінним навіть після перезавантажень і на різних системах.

Це означає, що функція не працює і користувачі відкриті для атак повторного використання коду. Такі атаки читають простір пам’яті додатка і створюють невеликий код, який постійно націлений на те саме місце.

Дослідник зазначає, що ця проблема стосується тільки Windows 8 і пізніших версій, оскільки саме в них Microsoft змінила значення реєстру, використовувані для запуску ASLR.

Усунення помилки

Дорман настійно рекомендує користувачам виправити цю проблему, щоб ASLR функціонувала в правильному режимі.

Очікується, що Microsoft виправить цю проблему в наступному патчі. Нині єдиним способом запуску ASLR у правильній конфігурації є зміна деяких функцій в реєстрі Windows. Ось покрокова інструкція для виправлення помилки:

  1. Створіть текстовий файл і введіть туди наступний текст:
    Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
  2. Збережіть файл з розширенням .reg, наприклад, ASLR.reg.
  3. Відкрийте редактор реєстру Windows.
  4. Виберіть пункт меню “Файл” і виберіть для імпорту .reg- файл, який Ви щойно створили.

Ви можете скачати такий файл, створений редакцією Bleeping Computer.

Хоча це значно поліпшить стан справ на Вашому пристрої, слід все одно пильнувати. ASLR не така надійна, як вважалося раніше. На початку року був виявлений експлойт, який давав можливість зловмисникам обходити її захист.

ASLR – це технологія комп’ютерної безпеки, яка випадковим чином змінює розташування в адресному просторі процесу важливих структур даних. Технологія була представлена 2003 року в OpenBSD. Відтоді вона була додана в усі основні ОС, включаючи Linux, Android, macOS і Windows.

Джерело: Bleeping Computer

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Коментарі 1

  • Та вони взагалі некоректні! Я з віндовс 10 настраждався, я змінив майже все залізо в компі. В мене пк просто зависав в простої, я змінив жорсткий диск, відеокарту, блок живлення, та процесор. і все одно він зависав, я ставив різні ревізіі, все одно вісне і хоч трісни. Вже на американських форумах меня сказали що я не один такий, це в він10 є баг котрий вони не відправляють. Я перейшов знов на м’яту (це один з лінуксів) і все в нормі работає. А віндовс встановлював лише ради однієї програми, котра не хотіла запускатися через вино (емулятор віндовс). А про захист, та й взагалі про роботу ос я промочу. На мій погляд це провальна операційна система!

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *