Zettel Debate: dibattito sull'impegno politico in 4AFM
I ricercatori di sicurezza del CERT hanno dichiarato che Windows 10, Windows 8,1 e Windows 8 non riescono a randomizzare correttamente ogni applicazione se l`ASLR obbligatorio di sistema è abilitato tramite EMET o Windows Defender Exploit Guard. Microsoft ha risposto affermando che l`implementazione di Address Space Layout Randomization (ASLR) su Microsoft Windows funziona come previsto. Diamo un`occhiata al problema.
ASLR viene espanso come randomizzazione del layout dello spazio degli indirizzi, la funzionalità ha fatto il suo debutto con Windows Vista ed è progettata per prevenire gli attacchi di riutilizzo del codice. Gli attacchi vengono evitati caricando moduli eseguibili a indirizzi non prevedibili attenuando così gli attacchi che di solito dipendono dal codice posto in posizioni prevedibili. l`ASLR è messo a punto per combattere tecniche di exploit come la programmazione orientata al ritorno che si basa su un codice generalmente caricato in una posizione prevedibile. Questo a parte uno dei principali aspetti negativi dell`ASLR è che deve essere collegato con il flag / DYNAMICBASE.
Ambito di utilizzo
l`ASLR ha offerto protezione all`applicazione, ma non ha coprire le attenuazioni a livello di sistema. Di fatto, è per questo motivo che Microsoft EMET è stato rilasciato. EMET ha assicurato che riguardava sia le attenuazioni su tutto il sistema che quelle specifiche per le applicazioni. EMET è diventato il volto di mitigazioni a livello di sistema offrendo un front-end per gli utenti. Tuttavia, a partire dall`aggiornamento di Windows 10 Fall Creators, le funzionalità di EMET sono state sostituite con Windows Defender Exploit Guard.
l`ASLR può essere abilitato obbligatoriamente per EMET e Windows Defender Exploit Guard per i codici che non sono collegati a / DYNAMICBASE flag e questo può essere implementato sia per applicazione che per base di sistema. Ciò significa che Windows trasferirà automaticamente il codice su una tabella di rilocazione temporanea e quindi la nuova posizione del codice sarà diversa per ogni riavvio. A partire da Windows 8, le modifiche di progettazione impongono che l`ASLR a livello di sistema disponga di ASLR bottom-up a livello di sistema abilitato per fornire entropia all`ASLR obbligatorio.
Il problema
ASLR è sempre più efficace quando l`entropia è di più. In termini molto più semplici, l`aumento di entropia aumenta il numero di spazi di ricerca che devono essere esplorati dall`attaccante. Tuttavia, entrambi, EMET e Windows Defender Exploit Guard abilitano l`ASLR a livello di sistema senza abilitare ASLR bottom-up a livello di sistema. Quando ciò accade, i programmi senza / DYNMICBASE verranno trasferiti ma senza alcuna entropia. Come abbiamo spiegato in precedenza, l`assenza di entropy renderebbe relativamente più semplice per gli aggressori poiché il programma riavvierà sempre lo stesso indirizzo.
Questo problema interessa attualmente Windows 8, Windows 8.1 e Windows 10 che hanno un ASLR a livello di sistema abilitato tramite Windows Defender Exploit Guard o EMET. Poiché il riposizionamento degli indirizzi è di natura non DINAMICBASE, generalmente sovrascrive il vantaggio dell`ASLR.
Che Microsoft ha da dire
Microsoft è stata rapida e ha già rilasciato una dichiarazione. Questo è ciò che la gente di Microsoft ha da dire,
"Il comportamento dell`ASLR obbligatorio che il CERT ha osservato è di progettazione e ASLR funziona come previsto. Il team di WDEG sta esaminando il problema di configurazione che impedisce l`abilitazione a livello di sistema dell`ASLR bottom-up e sta lavorando per affrontarlo di conseguenza. Questo problema non crea ulteriori rischi in quanto si verifica solo quando si tenta di applicare una configurazione non predefinita alle versioni esistenti di Windows. Anche in questo caso, la postura di sicurezza effettiva non è peggiore di quella fornita per impostazione predefinita ed è semplice aggirare il problema attraverso i passaggi descritti in questo post "
Hanno specificato in dettaglio i workaround che aiuteranno a raggiungere il livello desiderato di sicurezza. Esistono due soluzioni alternative per coloro che desiderano abilitare l`ASLR obbligatorio e la randomizzazione bottom-up per i processi il cui EXE non ha attivato l`ASLR.
1] Salvare quanto segue in optin.reg e importarlo per abilitare l`ASLR obbligatorio e la randomizzazione bottom-up a livello di sistema.
Editor del registro di Windows versione 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Abilitare l`ASLR obbligatorio e la randomizzazione bottom-up tramite programma- configurazione specifica tramite WDEG o EMET.
Detto Microsoft - Questo problema non comporta ulteriori rischi in quanto si verifica solo quando si tenta di applicare una configurazione non predefinita alle versioni esistenti di Windows.
Elimina la cronologia della barra degli indirizzi di Windows File Explorer
Utilizzando il Registro di sistema in Windows 10/8/7, è possibile rimuovere o eliminare la barra degli indirizzi di Windows File Explorer suggerire automaticamente gli elementi della cronologia dal menu a discesa.
Completamento automatico della barra degli indirizzi di Internet Explorer http: // non funzionante
Scopri come correggere il registro di Windows se http: / / non funziona correttamente. La causa potrebbe essere corruzione del registro, infezioni da malware, ecc.
Come eliminare la cronologia della barra degli indirizzi di Windows Explorer
Scopri come eliminare la cronologia della barra degli indirizzi di Windows Explorer o rimuovere elementi specifici per garantire che le cartelle private rimangano private.