Microsoft: поведінка ASLR у нових версіях Windows – не баг, а фіча

Нагадаємо, що аналітик з уразливостей з CERT/CC Уілл Дорман виявив некоректну роботу ASLR. У певних умовах вона просто не виділяє пам’ять для двійкових файлів додатків у випадковий спосіб. Таким чином, Дорман припустив, що ASLR несправна в нових версіях Windows і користувачі відкриті для атак повторного використання коду.

Не баг, а фіча!

Проте Microsoft, отримавши скаргу на помилку в роботі ASLR, повідомила, що функція працює саме так, як і було задумано:

ASLR працює так, як і передбачалося. Проблема конфігурації, описана Уіллом Дорманом, стосується тільки тих додатків, для exe-файлів яких ASLR не використовується (виділені жовтим). Знайдена проблема не є вразливістю, не створює додаткового ризику, тому не послаблює наявні системи безпеки додатків.

Представник Microsoft також додав, що CERT/CC дійсно ідентифікували проблему з інтерфейсом конфігурації “Захисника Windows” (Windows Defender Exploit Guard, WDEG), яка нині перешкоджає загальносистемній активації рандомізації знизу-вгору. Команда розробників WDEG активно вивчає знайдену проблему і намагатиметься розв’язати її в найкоротші терміни.

Примусове включення рандомізації знизу-вгору

Користувачам, які дійсно бажають включити рандомізацію знизу-вгору для процесів, в exe-файлах яких ASLR не використовується, Microsoft дає поради. Перший спосіб розв’язання описаний детально у нашій статті. Другий спосіб – примусове включення ASLR і рандомізація знизу-вгору за допомогою програмної конфігурації WDEG або EMET:

Що таке ASLR?

ASLR – критично важлива система захисту, використовувана в усіх сучасних ОС: Windows, Linux, macOS, Android і BSD. Стисло, ASLR – це механізм захисту пам’яті, який рандомізує місце виконання програми в пам’яті, що ускладнює завантаження вірусів у конкретні місця в пам’яті за експлуатації переповнень або схожих багів.

Джерело: MSPoweruser