事務所

Windowsでのアドレススペースレイアウトのランダム化の実装

株式会社博展 - 東芝実績動画

株式会社博展 - 東芝実績動画
Anonim

CERTのセキュリティ研究者は、システム全体の必須ASLRがEMETまたはWindows Defender Exploit Guardを介して有効になっている場合、Windows 10、Windows 8,1およびWindows 8がすべてのアプリケーションを適切にランダム化しないと述べています。マイクロソフトは、Microsoft Windows上のアドレス空間レイアウト無作為化(ASLR) の実装が意図したとおりに機能していると言っています。

ASLRとは?

ASLRはアドレススペースレイアウトのランダム化として拡張され、Windows Vistaでデビューし、コード再使用攻撃を防ぐように設計されています。実行可能なモジュールを予測不可能なアドレスにロードすることで攻撃を防ぎ、予測可能な場所に配置されたコードに通常依存する攻撃を軽減します。 ASLRは、一般的に予測可能な場所にロードされるコードに依存するリターン指向プログラミングのようなエクスプロイト手法と戦うために微調整されています。 ASLRの主な欠点の1つは、 / DYNAMICBASE フラグとリンクする必要があるということです。

使用範囲

ASLRはアプリケーションに保護を提供しましたが、システム全体の軽減をカバーします。実際、Microsoft EMETがリリースされたのはこの理由によるものです。 EMETは、システム全体およびアプリケーション固有の緩和策の両方をカバーすることを保証しました。 EMETは、ユーザーにフロントエンドを提供することでシステム全体の緩和の面で終わった。ただし、Windows 10 Fall CreatorsのアップデートからEMET機能がWindows Defender Exploit Guardに置き換えられました。

ASLRは、/ DYNAMICBASEフラグにリンクされていないコードのEMETとWindows Defender Exploit Guardの両方に対して強制的に有効にすることができますこれは、アプリケーション単位またはシステム全体のベースのいずれかで実装できます。これは、Windowsがコードを一時的な再配置テーブルに自動的に再配置するため、再起動するたびにコードの新しい場所が異なることを意味します。 Windows 8以降、システム全体のASLRにシステム全体のボトムアップASLRを有効にして、必須のASLRにエントロピーを供給するように設計変更が義務づけられました。

問題

ASLRは、エントロピーはもっとです。エントロピーの増加は、はるかに簡単な用語では、攻撃者が探索する必要のある探索空間の数を増加させる。ただし、EMETとWindows Defender Exploit Guardは、システム全体のボトムアップASLRを有効にせずに、システム全体のASLRを有効にします。これが起こると、/ DYNMICBASEのないプログラムは再配置されますが、エントロピーはありません。以前に説明したように、プログラムが毎回同じアドレスを再起動するため、エントロピーがないと攻撃者にとって比較的簡単になります。

この問題は現在、システム全体のASLRが有効になっているWindows 8、Windows 8.1、およびWindows 10 Windows Defender Exploit GuardまたはEMETを介して。アドレスの移転は本質的にDYNAMICBASEではないため、通常はASLRの利点を無効にします。

マイクロソフトの話

マイクロソフトは迅速かつ声明を発表しました。これは、マイクロソフトの人々が言うべきことです。

「CERTが観察した強制ASLRの動作は設計通りであり、ASLRは意図したとおりに動作しています。 WDEGチームは、ボトムアップASLRのシステム全体の使用を妨げる構成上の問題を調査し、それに応じて対応しています。この問題は、既定以外の構成を既存のバージョンのWindowsに適用しようとする場合にのみ発生するため、追加のリスクは発生しません。それでも効果的なセキュリティの姿勢は、デフォルトで提供されるものより悪くはなく、この記事で説明されている手順で問題を回避するのは簡単です。 "

必要なレベルを達成するのに役立つ回避策を具体的に詳述していますセキュリティのEXLがASLRにオプトインしていないプロセスに対して強制ASLRとボトムアップランダム化を有効にしたい人には、2つの回避策があります。

1]以下をoptin.regに保存し、それをインポートして、システム全体に必須のASLRとボトムアップのランダム化を有効にします

Windowsレジストリエディタバージョン5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = 16進数:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

2]強制的なASLRとボトムアップのランダム化を、

Seed Microsoft - この問題は、既定以外の構成を既存のWindowsに適用しようとすると発生するため、追加のリスクは発生しません。