ASLR ευπάθεια σε Windows 8, 10: επιδιορθώστε άμεσα


Address Space Layout Randomization ή ASLR: Τα Windows 8, τα Windows 8.1 αλλά και οι μεταγενέστερες εκδόσεις των Windows 10 φέρεται να μην εφαρμόζουν σωστά το ASLR, καθιστώντας άχρηστο ένα πολύ κρίσιμο χαρακτηριστικό ασφάλειας των Windows.

Το Address Space Layout Randomization ή ASLR είναι μια τεχνική ασφάλειας που επιλέγει τυχαίες διευθύνσεις μνήμης για να εκτελεστεί ο κώδικας μιας εφαρμογής.

Το χαρακτηριστικό ASLR κυκλοφόρησε αρχικά στο OpenBSD το 2003 και από τότε έχει προστεθεί σε όλα τα μεγάλα λειτουργικά συστήματα, Linux, Android, MacOS και Windows.

Η Microsoft πρόσθεσε για πρώτη φορά το ASLR στα Windows με την κυκλοφορία των Vista το 2006. Για να ενεργοποιήσουν τη λειτουργία, οι χρήστες έπρεπε να εγκαταστήσουν το Microsoft EMET και να χρησιμοποιήσουν το GUI του για να επιλέξουν τη χρήση του ASLR σε καταστάσεις που αφορούν ολόκληρο το σύστημα ή για εφαρμογές.

Με την κυκλοφορία των Windows 10, το ASLR προστέθηκε στο Windows Defender Exploit Guard και οι χρήστες μπορούν να το ενεργοποιήσουν μέσω του Κέντρου Ασφαλείας του Windows Defender.

ASLR

Μια ευπάθεια όμως που υπάρχει εδώ και 17 χρόνια (αποκαλύφθηκε πρόσφατα) που επηρεάζει τον επεξεργαστή εξισώσεων του Microsoft Office, απέδειξε ότι η ASLR δεν τυχαιοποιούσε τις διευθύνσεις κωδικών μνήμης σε αρχεία εφαρμογών κάτω από συγκεκριμένες συνθήκες.

Σύμφωνα με τον Will Dormann, αναλυτή ευπαθειών CERT/CC, όταν οι χρήστες ενεργοποιούν την προστασία ASLR σε όλο το σύστημα, εμφανιζόταν σφάλματα που δεν επέτρεπαν την δημιουργία τυχαίων διευθύνσεων μνήμης.

“Το αποτέλεσμα είναι ότι προγράμματα χρησιμοποιούσαν στην ίδια διεύθυνση κάθε φορά σε όλες τις επανεκκινήσεις ακόμη και σε διαφορετικά συστήματα”, δήλωσε σήμερα ο Dormann σε μια ειδοποίηση που δημοσίευσε στο CERT.

Αυτό πρακτικά σημαίνει ότι το ΑSLR δεν χρησιμοποιείται αν και είναι ενεργοποιημένο, πράγμα που σημαίνει ότι οι χρήστες του χαρακτηριστικού ασφαλείας είναι ανοικτοί σε επιθέσεις επαναχρησιμοποίησης διευθύνσεων μνήμης μιας εφαρμογής που περιέχει κακόβουλο κώδικα.

Ο ερευνητής λέει ότι αυτό το ζήτημα επηρεάζει μόνο τα συστήματα της Microsoft από τα Windows 8 και μετά επειδή η εταιρεία άλλαξε τις τιμές μητρώου μέσω των οποίων ξεκινάει το ΑSLR.

Φυσικά η Microsoft αναμένεται ότι θα διορθώσει το πρόβλημα σε κάποια μελλοντική ενημερωμένη έκδοση και προς το παρόν, ο μόνος τρόπος για εκκίνησης του χαρακτηριστικού ΑSLR για να λειτουργεί είναι ένα tweak ταλάντωση στο μητρώο των Windows.

Πως μπορώ να προστατευτώ:

Δημιουργήστε ένα αρχείο κειμένου και πληκτρολογήστε το ακόλουθο κείμενο:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Αποθηκεύστε το αρχείο με επέκταση .reg, αντί για .txt, για παράδειγμα, iguru.reg.

Προαιρετικά, μπορείτε να κατεβάσετε το αρχείο που φτιάξαμε για εσάς, και να το τρέξετε με ένα διπλό click (μετά την εξαγωγή του από το .zip)

Δεξί click αποθήκευση ως:

iguru.reg

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news