تنفيذ عشوائية تخطيط مساحة العنوان على Windows

صرح باحثو الأمن في CERT بأن Windows 10 و Windows 8.1 و Windows 8 يفشلون في اختيار عشوائي لكل تطبيق إذا تم تمكين ASLR على مستوى النظام عبر نظام EMET أو Windows Defender Exploit Guard. وقد ردت مايكروسوفت بالقول إن تنفيذ عشوائية تخطيط مساحة العنوان (ASLR) على Microsoft Windows يعمل على النحو المنشود. دعونا نلقي نظرة على هذه المشكلة.

ما هو ASLR

تم توسيع ASLR كـ Randomisation تخطيط مساحة العنوان ، ظهرت الميزة لأول مرة مع Windows Vista وهي مصممة لمنع هجمات إعادة استخدام الكود. يتم منع الهجمات عن طريق تحميل وحدات قابلة للتنفيذ في عناوين غير متوقعة وبالتالي التخفيف من الهجمات التي عادة ما تعتمد على الكود الموضوعة في مواقع يمكن التنبؤ بها. يتم ضبط ASLR بشكل جيد لمكافحة تقنيات الاستغلال مثل البرمجة الموجهة نحو الإرجاع والتي تعتمد على الكود الذي يتم تحميله بشكل عام في موقع يمكن التنبؤ به. وبصرف النظر عن واحدة من سلبيات الرئيسية ASLR هو أنه يجب أن تكون مرتبطة مع العلم / DYNAMICBASE.

نطاق الاستخدام

عرضت ASLR الحماية إلى التطبيق ، لكنه لم تغطية التخفيف على نطاق المنظومة. في الواقع ، لهذا السبب تم إصدار Microsoft EMET. تضمن EMET أنها تغطي كلا من عمليات التخفيف على مستوى النظام والتطبيق. انتهى الأمر بـ EMET باعتباره وجهًا لحدوث التخفيف على مستوى النظام من خلال توفير واجهة أمامية للمستخدمين. ومع ذلك ، بدءًا من تحديث Windows 10 Fall Creators ، تم استبدال ميزات EMET بـ Windows Defender Exploit Guard.

يمكن تمكين ASLR بشكل إجباري لكل من EMET و Windows Defender Exploit Guard للأكواد غير المرتبطة بعلامة / DYNAMICBASE ويمكن تنفيذ ذلك إما على أساس كل تطبيق أو قاعدة على مستوى النظام. ما يعنيه هذا هو أن Windows سيقوم تلقائيًا بنقل التعليمة البرمجية إلى جدول إعادة تحديد مؤقت ، وبالتالي سيكون موقع الرمز الجديد مختلفًا لكل عمليات إعادة تمهيد. بدءا من ويندوز 8 ، فإن تغييرات التصميم تنص على أن نظام ASLR على مستوى النظام يجب أن يكون مزودًا بتقنية ASLR من أسفل إلى أعلى على مستوى النظام من أجل توفير الإنتروبيا إلى ASLR الإلزامي.

المشكلة

ASLR دائمًا أكثر فعالية عندما الكون هو أكثر من ذلك. بعبارات أبسط بكثير ، تزيد الزيادة في الإنتروبيا من مساحة البحث التي يحتاج المهاجم إلى استكشافها. ومع ذلك ، فإن كل من EMET و Windows Defender Exploit Guard يعملان على تمكين نظام ASLR على مستوى النظام بأكمله دون تمكين ASLR على مستوى النظام بأكمله. عندما يحدث هذا سوف تحصل على البرامج دون / DYNMICBASE ولكن دون أي إنتروبيا. كما أوضحنا سابقًا ، فإن غياب الإنتروبيا سيجعل الأمر أسهل نسبيًا بالنسبة للمهاجمين لأن البرنامج سيقوم بإعادة تشغيل نفس العنوان في كل مرة.

تؤثر هذه المشكلة حاليًا على أنظمة التشغيل Windows 8 و Windows 8.1 و Windows 10 التي تم تمكين نظام ASLR على مستوى النظام عبر Windows Defender Exploit Guard أو EMET. نظرًا لأن نقل العنوان غير DYNAMICBASE بطبيعته ، فإنه يتجاوز عادةً ميزة ASLR.

ما الذي يجب أن تقوله شركة Microsoft

لقد كانت Microsoft سريعة وقد أصدرت بالفعل بيانًا. هذا ما كان على الناس في Microsoft أن يقولوه ،

"إن سلوك ASLR الإلزامي الذي لاحظه CERT هو حسب التصميم ويعمل ASLR على النحو المنشود. ﯾﻘوم ﻓرﯾق WDEG ﺑﺎﻟﺗﺣﻘﯾق ﻓﻲ ﻣﺷﻛﻠﺔ اﻟﺗﮭﯾﺋﺔ اﻟﺗﻲ ﺗﺣول دون ﺗﻣﻛﯾن ﻧظﺎم ASLR ﻋﻠﻰ ﻧطﺎق اﻟﻣﻧظوﻣﺔ ﻋﻠﻰ ﻧطﺎق اﻟﻣﻧظﻣﺔ ، وﯾﻌﻣل ﻋﻠﻰ ﻣﻌﺎﻟﺟﺗﮫ وﻓﻘًﺎ ﻟذﻟك. لا تنشئ هذه المشكلة مخاطر إضافية حيث تحدث فقط عند محاولة تطبيق تكوين غير افتراضي على إصدارات موجودة من Windows. وحتى في ذلك الحين ، فإن الوضع الأمني ​​الفعال ليس أسوأ من ما يتم توفيره بشكل افتراضي ، ومن السهل العمل على حل المشكلة من خلال الخطوات الموضحة في هذا المنشور "

لقد قاموا بتفصيل الحلول المحددة التي ستساعد في تحقيق المستوى المطلوب. الأمن. هناك نوعان من الحلول لأولئك الذين يرغبون في تمكين ASLR الإلزامي و العشوائية من الأسفل إلى الأعلى للعمليات التي لم تقم EXE باختيارها في ASLR.

1] قم بحفظ ما يلي في optin.reg واستيراده لتمكين ASLR الإلزامي وعشوائية من أسفل إلى أعلى على مستوى النظام.

Windows Registry Editor الإصدار 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager] "MitigationOptions" = hex: 00،01،01،00،00،00،00،00،00،00،00،00،00،00،00،00،00

2] تمكين ASLR الإلزامية و العشوائية من أسفل إلى أعلى عبر برنامج تكوين محدد باستخدام WDEG أو EMET.

Said Microsoft - لا تخلق هذه المشكلة مخاطر إضافية لأنه يحدث فقط عند محاولة تطبيق تكوين غير افتراضي على إصدارات موجودة من Windows.