Des chercheurs en sécurité chez CERT ont déclaré que Windows 10, Windows 8.1 et Windows 8 ne parviennent pas à randomiser correctement chaque application si ASLR obligatoire au niveau du système est activé via EMET ou Windows Defender Exploit Guard. Microsoft a répondu en disant que la mise en œuvre de Randomisation de la disposition de l'espace d'adressage (ASLR) sur Microsoft Windows fonctionne comme prévu. Laissez-nous jeter un oeil à la question.
Qu'est-ce que l'ASLR?
ASLR est développé sous le nom de Randomisation de la disposition de l'espace d'adressage. Cette fonctionnalité a fait ses débuts avec Windows Vista et est conçue pour empêcher les attaques par réutilisation de code. Les attaques sont prévenues en chargeant des modules exécutables à des adresses non prévisibles, atténuant ainsi les attaques qui dépendent généralement du code placé à des emplacements prévisibles. ASLR est conçu pour lutter contre les techniques d’exploitation comme la programmation orientée retour, qui repose sur un code généralement chargé dans un emplacement prévisible. Cela mis à part, l’un des inconvénients majeurs de l’ASLR est qu’il doit être associé à / DYNAMICBASE drapeau.
Portée d'utilisation
L’application ASLR protégeait l’application, mais ne couvrait pas les mesures d’atténuation à l’échelle du système. En fait, c'est pour cette raison que Microsoft EMET a été publié. EMET s’est assuré qu’il couvrait les mesures d’atténuation applicables à l’ensemble du système et à chaque application. EMET a fini par être le visage d'atténuations à l'échelle du système en offrant une interface frontale aux utilisateurs. Toutefois, à partir de la mise à jour de Windows 10 Fall Creators, les fonctionnalités EMET ont été remplacées par Windows Defender Exploit Guard.
ASLR peut être activé de manière obligatoire pour EMET et Windows Defender Exploit Guard pour les codes qui ne sont pas liés à l'indicateur / DYNAMICBASE et cela peut être implémenté au niveau de l'application ou du système. Cela signifie que Windows transférera automatiquement le code dans une table de déplacement temporaire et que le nouvel emplacement du code sera différent à chaque redémarrage. À partir de Windows 8, les modifications de conception ont imposé que l'ASLR ascendant au niveau du système devrait être activé sur le système dans son ensemble afin de fournir une entropie au ASLR obligatoire.
Le problème
ASLR est toujours plus efficace lorsque l'entropie est plus. En termes beaucoup plus simples, une augmentation de l'entropie augmente le nombre d'espaces de recherche à explorer par l'attaquant. Cependant, EMET et Windows Defender Exploit Guard activent l'ASLR à l'échelle du système sans l'activer à l'échelle du système. Lorsque cela se produit, les programmes sans / DYNMICBASE seront déplacés mais sans entropie. Comme nous l'avons expliqué précédemment, l'absence d'entropie faciliterait la tâche des attaquants, car le programme redémarre la même adresse à chaque fois.
Ce problème concerne actuellement Windows 8, Windows 8.1 et Windows 10, qui disposent d'un ASLR à l'échelle du système activé via Windows Defender Exploit Guard ou EMET. Etant donné que le déplacement d'adresse est de nature non-DYNAMICBASE, il annule généralement l'avantage de ASLR.
Ce que Microsoft a à dire
Microsoft a été rapide et a déjà publié une déclaration. C’est ce que les gens de Microsoft avaient à dire:
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Ils ont spécifiquement détaillé les solutions de contournement qui aideront à atteindre le niveau de sécurité souhaité. Il existe deux solutions pour ceux qui souhaitent activer l'ASLR obligatoire et la randomisation ascendante pour les processus dont le fichier EXE n'a pas opté pour l'ASLR.
1] Enregistrez les éléments suivants dans optin.reg et importez-les pour activer l'ASLR obligatoire et la randomisation ascendante dans l'ensemble du système.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Activez la randomisation obligatoire ASLR et ascendante via une configuration spécifique au programme à l'aide de WDEG ou EMET.
