Nul
Het is geen bug. Het is een feature.
Security analyst will Dormann van de Carnegie Mellon University de CERT Coordination Center (CERT/CC) veroorzaakt een grote kerfuffle eerder deze maand toen hij twitterde dat Windows-10 de implementatie van een security functie bekend als systeem-brede verplichte ASLR is “in wezen waardeloos.”
Hij werd gevolgd door een tweet met een CERT advies, welke op zijn beurt geleid tot een vlaag van bijtende koppen in de tech pers, gekenmerkt door ZDNet ‘ s eigen verhaal over de kwestie: Windows-Toets 10 verdediging is ‘waardeloos’ en bug dateert van Windows 8.
Die kop heeft twee problemen.
Eerste, de functie in kwestie is niet echt een “belangrijke Windows-10 de verdediging.” Systeem-brede verplichte ASLR is een esoterische optie die van toepassing is vooral in de rand van gevallen en moet handmatig worden ingesteld.
En ten tweede, Microsoft stelt dat het gedrag Dormann geklaagd over het niet een bug is. In een blog van het Microsoft Reactie Security Center met de titel “Verduidelijking van het gedrag van de verplichte ASLR, ‘Microsoft’ s Matt Miller schrijft dat “[h]et probleem van de verplichte ASLR dat CERT/CC waargenomen door ontwerp…”
Kortom, ASLR werkt zoals de bedoeling is en de configuratie-probleem dat wordt beschreven door CERT/CC alleen van invloed op toepassingen waar de EXE niet al opt-in voor ASLR. Het probleem is niet een beveiligingslek, geen extra risico ‘ s, en niet van een verzwakking van de bestaande beveiliging houding van toepassingen.
[…]
CERT/CC deden het identificeren van een probleem met de configuratie-interface van Windows Defender te Exploiteren Guard (WDEG) die momenteel voorkomt systeem-brede inschakeling van bottom-up randomisatie. De WDEG team is actief om dit te onderzoeken en zal de kwestie dienovereenkomstig.
De meeste van de media-aandacht die aanvankelijk bedekt dit verhaal behandeld als een klassieke hij-zei-ze-zei dat verhaal. Dat is gecompliceerd door het feit dat de functie in kwestie is zo moeilijk uit te leggen als het is om te configureren. Laten we het af te breken.
Address Space Layout Randomization (ASLR) is een fundamentele eigenschap van elk modern operating systeem. ASLR is ondersteuning toegevoegd voor Windows meer dan een decennium geleden met de release van Windows Vista.
Zoals de naam zegt, het punt van ASLR is weergeven in willekeurige volgorde de geheugen adressen gebruikt door uitvoerbare code (zoals Dll ‘ s) zodat een aanvaller die vindt een geheugen fout, zoals een buffer overloop heeft, kan niet gemakkelijk te exploiteren.
(Voor een grondige technische uitleg van hoe ASLR werkt in combinatie met een andere beveiliging functie Preventie van gegevensuitvoering (DEP), zien deze StackExchange draad: “Hoe ASLR en DEP zijn werk?” Voor Microsoft ‘ s toelichting op de toepassing van ASLR in Windows 8 en hoger, zie “Software verdediging: het verzachten van de gemeenschappelijke exploitatie technieken.”)
Sinds 2010, de ontwikkelaars van Windows-programma ‘ s hebben de mogelijkheid om een opt-in voor ASLR ondersteuning door de instelling /DYNAMICBASE vlag als ze het samenstellen van een programma. Als je een Windows programma ‘ s zijn bijgewerkt in de afgelopen zes of zeven jaar, is het bijna zeker ondersteunt de ASLR-native.
In Windows 10, ASLR werkt prima op programma ‘ s die zich hebben aangemeld. Dat is inclusief Office 2013 en Office 2016, elk programma in de Adobe Creative Cloud-suite, een moderne browsers als Chrome en Firefox, is elk uitvoerbaar meegeleverd met Windows zelf, en ieder programma verspreid via de Windows Store.
(Om te bevestigen dat ASLR is ingeschakeld voor een proces dat wordt uitgevoerd op uw PC, downloaden en uitvoeren van het Microsoft Sysinternals utility Process Explorer en voeg de ASLR-kolom.)
Voor deze programma ‘ s omvatten de overgrote meerderheid van wat elke Windows-gebruiker doet, dag in dag uit, ASLR is niet gebroken, buggy, of waardeloos. Het werkt precies zoals het zou moeten, het blokkeren van de soort aanvallen die eerder zou zijn geworden in de zero-day exploits.
Dus waar is het probleem?
Het probleem met ASLR op Windows-10 (en eerdere Windows-versies, voor die kwestie) ontstaat wanneer u een ouder programma dat nog niet is samengesteld met behulp van de vlag die er voor kiest in te ASLR. Om redenen van compatibiliteit Windows niet willekeurig een van de adressen van deze programma ‘ s. Omdat ze dus op een voorspelbare adres in het geheugen, ze zijn meer kwetsbaar voor geheugen-gebaseerde aanvallen.
In Windows 7 en Windows 8.x, u kunt gebruik maken van een tool genaamd de Enhanced Mitigation Experience Toolkit (EMET) te dwingen randomisatie van een van die oudere, onveilige programma ‘ s. (Ik schreef over EMET in 2011, noemde het “De security tool elke Windows-gebruiker moet weten over.”)
Begin met de net uitgebrachte Windows-10 versie 1709, Microsoft heeft afgeschaft EMET en heeft zijn exploiteren mitigatie-functionaliteit in het besturingssysteem. Te krijgen tot deze functie, genaamd Windows Defender Exploiteren Guard (WDEG), open Windows Defender Security Center, klik op App & Browser Controle, en klik vervolgens Exploiteren Bescherming van de Instellingen.
Deze instellingen zijn van invloed op oudere programma ‘ s die niet expliciet ASLR-hoogte
Als het scherm aangeeft, kunt u WDEG instellingen voor het hele systeem of op basis van per programma.
Als u kiest voor de optie programma, moet u nagaan welke specifieke programma en dan pas de instellingen aan zoals hier afgebeeld.
Het inschakelen van ASLR randomisatie voor een specifiek programma beschrijft deze opties
Voor mijn testen heb ik gebruik gemaakt van een Windows-hulpprogramma dat werd het laatst bijgewerkt in 2008, voordat de ondersteuning voor ASLR is toegevoegd aan Microsoft development tools. Dat hulpprogramma werkt nog steeds op Windows-10. (Ik heb wazig de naam van het programma, die niet relevant is voor de discussie hier.)
Het inschakelen van de optie te dwingen ASLR voor dit programma verplaatst de basis adres in het geheugen, maar die locatie is nog steeds voorspelbaar en dus kwetsbaar voor het geheugen-gerelateerde exploits.
De tweede optie op het scherm, Bottom-up ASLR, is wat verhuist het programma het adres van een willekeurige plaats in het geheugen en voorkomt mogelijke aanvallen. Helaas, in dit geval het voorkomt ook dat het programma uitgevoerd.
De configuratie probleem dat CERT/CC geïdentificeerd ontstaat wanneer u de WDEG systeem instellingen te dwingen alle programma ‘ s te draaien met ASLR. Uit het eerder genoemde Microsoft-blog post:
Bottom-up randomisatie is standaard ingeschakeld als het proces EXE kiest in voor ASLR. Dit is om redenen van compatibiliteit, applicaties, waarvan de EXE niet opt-in voor ASLR (via /DYNAMICBASE) niet per se verwachten hun address space layout te veranderen van een uitvoering naar de volgende.
Het is mogelijk om te negeren dat gedrag door het wijzigen van het register in Windows 10 versie 1709, maar de voorkeur alternatief is om dit probleem op basis van per programma. Als Microsoft opmerkingen:
Een van de opmerkelijke observaties die CERT/CC gemaakt is dat het inschakelen van het systeem-brede verplichte ASLR via EMET op Windows 7 niet vertonen van het hierboven beschreven gedrag. In plaats daarvan, processen waarvan de EXE niet opt-in bottom-up en ASLR zijn nog waargenomen te worden gerandomiseerd. De reden voor dit is dat EMET op Windows 7 ingeschakeld verplichte ASLR met behulp van een andere instelling ten opzichte van wat wordt nu gebruikt op Windows 8 en hoger.
[…]
De instelling gebruikt door EMET op Windows 7 wordt niet aanbevolen en wordt opzettelijk verborgen standaard dankzij de compatibiliteit van risico ‘ s verbonden met het. EMET gebruikers moeten blootstellen deze instelling door te navigeren naar EMET de Geavanceerde opties zoals hier beschreven.
Voor de meeste mensen, dit gedrag is een non-issue. Oudere programma ‘s die niet zijn geschreven voor de ondersteuning van ASLR zijn per definitie minder veilig dan de nieuwere programma’ s die ondersteuning bieden voor deze beveiligingsfunctie. Als je moet het uitvoeren van een ouder programma dat is waarschijnlijk een slachtoffer van de aanvallen, die u kunt inschakelen ASLR en bottom-up randomisatie voor dat programma en hopen dat het wordt uitgevoerd.
Windows 10
Windows 10 is het testen van nieuwe Apple macOS-zoals search box met Vloeiend Design
Belangrijke Windows-10 verdediging is ‘waardeloos’ en bug data terug naar Windows 8
Microsoft Windows 10 Redstone 4 test build 17040: Veel oplossingen, plus een paar kleine functies
Een Windows-10 alternatief: Microsoft moeten omarmen, het uitbreiden van Linux op de desktop
Windows 10 op de Arm: HP lek tips die nieuwe Snapdragon laptops nadert release
Windows 10 verdedigingen open tot 17-jaar oude Office-bug, maar Microsoft ‘ s vaste net het
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0