Peneliti keamanan di CERT telah menyatakan bahwa Windows 10, Windows 8.1 dan Windows 8 gagal mengacak setiap aplikasi jika ASLR wajib di seluruh sistem diaktifkan melalui EMET atau Windows Defender Exploit Guard. Microsoft telah menanggapi dengan mengatakan bahwa implementasi Address Space Layout Randomization (ASLR) pada Microsoft Windows berfungsi sebagaimana dimaksud. Mari kita lihat masalah ini.
Apa itu ASLR
ASLR diperluas sebagai Address Space Layout Randomisation, fitur ini melakukan debut dengan Windows Vista dan dirancang untuk mencegah serangan yang menggunakan kembali kode. Serangan tersebut dicegah dengan memuat modul yang dapat dieksekusi di alamat yang tidak dapat diprediksi sehingga mengurangi serangan yang biasanya bergantung pada kode yang ditempatkan di lokasi yang dapat diprediksi. ASLR baik-baik saja untuk memerangi teknik mengeksploitasi seperti pemrograman berorientasi-kembali yang bergantung pada kode yang umumnya dimuat ke dalam lokasi yang dapat diprediksi. Bahwa selain salah satu kelemahan utama ASLR adalah bahwa hal itu perlu dihubungkan dengan / DINAMISBASE bendera.
Cakupan penggunaan
ASLR menawarkan perlindungan terhadap aplikasi, tetapi tidak mencakup mitigasi sistem-lebar. Bahkan, untuk alasan inilah Microsoft EMET dirilis. EMET memastikan bahwa itu mencakup mitigasi baik secara keseluruhan sistem maupun aplikasi. EMET berakhir sebagai wajah mitigasi sistem-lebar dengan menawarkan front-end bagi pengguna. Namun, mulai dari Windows 10 Fall Creators memperbarui fitur EMET telah diganti dengan Windows Defender Exploit Guard.
ASLR dapat diaktifkan secara wajib untuk EMET, dan Windows Defender Exploit Guard untuk kode yang tidak terkait dengan / DYNAMICBASE flag dan ini dapat diimplementasikan baik pada basis per-aplikasi atau basis sistem-lebar. Apa artinya ini adalah Windows akan secara otomatis merelokasi kode ke tabel relokasi sementara dan dengan demikian lokasi baru kode akan berbeda untuk setiap reboot. Mulai dari Windows 8, perubahan desain mengamanatkan bahwa ASLR di seluruh sistem harus memiliki ASLR bottom-up yang dimungkinkan untuk memasok entropi ke ASLR wajib.
Masalah
ASLR selalu lebih efektif ketika entropi lebih. Dalam hal yang jauh lebih sederhana, peningkatan entropi meningkatkan jumlah ruang pencarian yang perlu dieksplorasi oleh penyerang. Namun, keduanya, EMET dan Windows Defender Exploit Guard memungkinkan ASLR di seluruh sistem tanpa mengaktifkan ASLR di bagian bawah sistem yang luas. Ketika ini terjadi program tanpa / DYNMICBASE akan dipindahkan tetapi tanpa entropi. Seperti yang telah kami jelaskan sebelumnya, tidak adanya entropi akan membuatnya relatif lebih mudah bagi penyerang karena program akan mereboot alamat yang sama setiap saat.
Masalah ini saat ini mempengaruhi Windows 8, Windows 8.1 dan Windows 10 yang memiliki ASLR di seluruh sistem yang diaktifkan melalui Windows Defender Exploit Guard atau EMET. Karena alamat relokasi adalah non-DINAMISBASE di alam, itu biasanya mengesampingkan keuntungan ASLR.
Apa yang Microsoft katakan
Microsoft telah cepat dan telah mengeluarkan pernyataan. Ini adalah apa yang orang-orang di Microsoft katakan,
“The behaviour of mandatory ASLR that CERT observed is by design and ASLR is working as intended. The WDEG team is investigating the configuration issue that prevents system-wide enablement of bottom-up ASLR and is working to address it accordingly. This issue does not create additional risk as it only occurs when attempting to apply a non-default configuration to existing versions of Windows. Even then, the effective security posture is no worse than what is provided by default and it is straightforward to work around the issue through the steps described in this post”
Mereka secara khusus merinci cara kerja yang akan membantu dalam mencapai tingkat keamanan yang diinginkan. Ada dua solusi untuk mereka yang ingin mengaktifkan ASLR wajib dan pengacakan bottom-up untuk proses yang EXE tidak ikut serta ke ASLR.
1] Simpan yang berikut ini ke optin.reg dan impor untuk mengaktifkan ASLR wajib dan sistem pengacakan bottom-up.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel] 'MitigationOptions'=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Aktifkan ASLR wajib dan pengacakan bottom-up melalui konfigurasi khusus program menggunakan WDEG atau EMET.
