CERT ได้กล่าวว่า Windows ไม่สามารถจัดสุ่มตัวอย่างแอพพลิเคชันทุกตัวได้ถ้า ASLR ที่มีผลบังคับใช้ทั่วทั้งระบบ เปิดการใช้งาน อ่านการตอบสนองและการแก้ปัญหาของ Microsoft

Address Space Layout Randomization (ASLR) ใน Microsoft Windows กำลังทำงานตามที่ตั้งใจไว้ ให้เราดูที่ปัญหา ASLR ASLR คืออะไร ASLR ถูกขยายเป็น Address Space Layout Randomisation คุณลักษณะนี้เริ่มต้นด้วย Windows Vista และได้รับการออกแบบมาเพื่อป้องกันไม่ให้เกิดการใช้โค้ดซ้ำ การโจมตีถูกป้องกันโดยการโหลดโมดูลปฏิบัติการที่อยู่ที่ไม่สามารถคาดเดาได้ดังนั้นจึงช่วยลดการโจมตีโดยปกติจะขึ้นอยู่กับโค้ดที่อยู่ในตำแหน่งที่สามารถคาดเดาได้ ASLR ได้รับการปรับแต่งเพื่อต่อสู้กับเทคนิคการใช้ประโยชน์เช่นการเขียนโปรแกรมเชิงตอบแทนที่ขึ้นอยู่กับโค้ดที่โหลดโดยทั่วไปในตำแหน่งคาดการณ์ได้ นอกเหนือจากข้อเสียประการสำคัญประการหนึ่งของ ASLR ก็คือต้องมีการเชื่อมโยงกับธง

/ DYNAMICBASE

ขอบเขตการใช้ ASLR ให้การคุ้มครองแอพพลิเคชัน แต่ก็ไม่ได้ ครอบคลุมการบรรเทาอาการทั้งระบบ อันที่จริงแล้ว Microsoft EMET ได้รับการเผยแพร่แล้ว EMET มั่นใจได้ว่าครอบคลุมทั้งการบรรเทาทั้งระบบและการประยุกต์ใช้เฉพาะ EMET กลายเป็นส่วนสำคัญในการลดความเสี่ยงทั้งระบบด้วยการนำเสนอส่วนหน้าสำหรับผู้ใช้ อย่างไรก็ตามตั้งแต่ผู้สร้าง Fall 10 ของ Windows คุณลักษณะของ EMET ได้ถูกแทนที่ด้วย Windows Defender Exploit Guard

ASLR สามารถเปิดใช้งานได้ทั้งสำหรับ EMET และ Windows Defender Exploit Guard สำหรับรหัสที่ไม่ได้เชื่อมโยงกับ / DYNAMICBASE flag และสามารถดำเนินการได้ทั้งแบบแอพพลิเคชันต่อแอพพลิเคชันหรือฐานทั้งระบบ สิ่งนี้หมายความว่า Windows จะย้ายโค้ดไปยังตารางการย้ายชั่วคราวและตำแหน่งที่ตั้งใหม่ของรหัสจะแตกต่างกันสำหรับการเริ่มต้นใหม่ทุกครั้ง เริ่มจาก Windows 8 การออกแบบเปลี่ยนคำสั่งว่า ASLR ทั้งระบบควรมี ASLR จากล่างขึ้นบนเพื่อเปิดใช้งานเพื่อจัดหาเอนโทรปีให้กับ ASLR ที่บังคับใช้

ASLR ปัญหา

มีประสิทธิภาพมากขึ้นเสมอเมื่อ เอนโทรปีมีมากกว่า ในแง่ที่ง่ายขึ้นการเพิ่มเอนโทรปีจะเพิ่มจำนวนพื้นที่ในการค้นหาที่ผู้บุกรุกสำรวจ อย่างไรก็ตามทั้งสองอย่างนี้ EMET และ Windows Defender Exploit Guard จะเปิดใช้งาน ASLR ทั้งระบบโดยไม่ต้องเปิดใช้งาน ASLR ทั้งระบบโดยรวม เมื่อเกิดเหตุการณ์นี้โปรแกรมที่ไม่มี / DYNMICBASE จะถูกย้าย แต่ไม่มีเอนโทรปี ตามที่เราได้อธิบายไว้ก่อนหน้านี้การไม่มีเอนโทรปีจะทำให้ผู้โจมตีง่ายกว่าเดิมเนื่องจากโปรแกรมจะรีบูตที่อยู่เดียวกันทุกครั้ง

ปัญหานี้กำลังส่งผลต่อ Windows 8, Windows 8.1 และ Windows 10 ที่เปิดใช้งาน ASLR ทั้งระบบ ผ่าน Windows Defender Exploit Guard หรือ EMET เนื่องจากการย้ายที่อยู่เป็นแบบ DYNAMICBASE โดยทั่วไปมักจะมีการแทนที่ข้อดีของ ASLR

Microsoft มีอะไรที่จะต้องพูด

Microsoft ได้รับการยอมรับอย่างรวดเร็วและได้ออกแถลงการณ์แล้ว นี่คือสิ่งที่ folks ที่ Microsoft ต้องพูด

"พฤติกรรมของ ASLR บังคับที่ CERT สังเกตได้จากการออกแบบและ ASLR ทำงานได้ตามที่ตั้งใจไว้ ทีม WDEG กำลังตรวจสอบปัญหาการกำหนดค่าที่ป้องกันไม่ให้การเปิดใช้งาน ASLR จากระยะไกลขึ้นบนระบบทั้งระบบและกำลังดำเนินการแก้ไขปัญหาดังกล่าวตามลำดับ ปัญหานี้ไม่สร้างความเสี่ยงเพิ่มเติมเนื่องจากจะเกิดขึ้นเมื่อพยายามใช้การกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นกับ Windows รุ่นที่มีอยู่เท่านั้น ถึงแม้แล้วท่าทางการรักษาความปลอดภัยที่มีประสิทธิภาพจะไม่เลวร้ายยิ่งกว่าสิ่งที่ได้รับตามค่าเริ่มต้นและมันก็ตรงไปตรงมาในการแก้ปัญหาตามขั้นตอนที่อธิบายไว้ในบทความนี้ "

พวกเขาได้อธิบายวิธีแก้ไขปัญหาที่จะช่วยให้บรรลุระดับที่ต้องการ ของการรักษาความปลอดภัย มีสองวิธีแก้ปัญหาสำหรับผู้ที่ต้องการให้ ASLR บังคับและการสุ่มตัวอย่างจากล่างขึ้นสำหรับกระบวนการที่ EXE ไม่ได้เลือกใช้ ASLR

1] บันทึกข้อมูลต่อไปนี้ลงใน optin.reg และนำเข้าเพื่อเปิดใช้งาน ASLR ที่บังคับใช้และระบบ randomization แบบ bottom-up ทั้งระบบ

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2] บังคับใช้ ASLR และการสุ่มตัวอย่างจากด้านล่างโดยใช้โปรแกรม - การกำหนดค่าเฉพาะโดยใช้ WDEG หรือ EMET

Microsoft กล่าวว่า - ปัญหานี้ไม่ก่อให้เกิดความเสี่ยงเพิ่มเติมเนื่องจากจะเกิดขึ้นเมื่อพยายามใช้การกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นกับ Windows รุ่นที่มีอยู่เท่านั้น