Board Stats

  • stats Total de Usuarios: 23013
  • stats Total de Mensajes: 107515
  • stats Total de Temas: 10339
  • stats Total de Categorías: 15
  • stats Total de Foros: 74
  • stats Máx. usuarios conectados (simultáneamente): 1021

Ultimo registro



Autor Tema: ASLR-fix - corrigiendo la implementación de ASLR mediante el registro de Windows  (Leído 708 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 22850
  • Mari
    • WirelessWindows


https://s25.postimg.cc/tnr7swo4v/sshot-2017-12-04-_19-55-44.jpg
ASLR-fix - corrigiendo la implementación de ASLR mediante el registro de Windows










Recientemente el investigador de seguridad del CERT/CC Will Dormann ha descubierto un problema de implementación de ASLR en Windows 8, 8.1 y Windows 10.

Citar
Vulnerability Note VU#817544

Windows 8 and later fail to properly randomize every application if system-wide mandatory ASLR is enabled via EMET or Windows Defender Exploit Guard

Overview

Microsoft Windows 8 introduced a change in how system-wide mandatory ASLR is implemented. This change requires system-wide bottom-up ASLR to be enabled for mandatory ASLR to receive entropy. Tools that enable system-wide ASLR without also setting bottom-up ASLR will fail to properly randomize executables that do not opt in to ASLR.

Description

Address Space Layout Randomization (ASLR)

Starting with Windows Vista, a feature called ASLR was introduced to Windows that helps prevent code-reuse attacks. By loading executable modules at non-predictable addresses, Windows can help to mitigate attacks that rely on code being at predictable locations. Return-oriented programming (ROP) is an exploit technique that relies on code that is loaded to a predictable or discoverable location. One weakness with the implementation of ASLR is that it requires that the code is linked with the /DYNAMICBASE flag to opt in to ASLR.

EMET and Windows Defender Exploit Guard

In order to help protect applications that don't necessarily opt in to using ASLR and other exploit mitigation techniques, Microsoft EMET was released. Using the EMET GUI, one can specify both system-wide and application-specific mitigations that can be enabled on a system. For system-wide mitigations, EMET simply acts as a front-end GUI to enable exploit mitigations that are built in to the Windows operating system. For application-specific mitigations, the EMET library is loaded into the process space of each application that is configured to be protected. Starting with the Windows 10 Fall Creators update, the capabilities that EMET provides have been replaced with Windows Defender Exploit Guard (..)

ASLR o "
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
" fue añadido a Windows a partir de Vista siendo necesario instalar Microsoft EMETpara habilitarlo en todo el sistema o en una aplicaciones específicas.  Quienes utilizáis EMET sabréis que Microsoft anunción el año pasado que va a
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
(aunque ha extenddo el soporte hasta julio de 2018)  ..aunque no está todo perdido pues con la llegada de Windows 10 ASLR fue agreado a Windows Defender Exploit Guard

El problema es que no está funcionando correctamente debido a un error por el cual no se asignan direcciones aleatorias a los lugares de memoria código de aplicación binarios en condiciones específicas en cada reiniciio por lo que determinados programas serán reubicados en la misma dirección.


https://s25.postimg.cc/higpqt3tr/DOt_Hfsi_XUAEk_K7.jpg
ASLR-fix - corrigiendo la implementación de ASLR mediante el registro de Windows



Citar
Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot.  But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.
Conclusion: Win10 cannot be enforce ASLR as well as Win7!

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Mientras Microsoft corrige el problema en una futura actuaización es posible solucionarlo importando un valor al registro:

Citar
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Esto se puede hacer de forma manual (o mediante el fix que nos ofrecen desde bleepingcomputer).

1) crea un archivo de texto en blanco y pega en el el texto anterior
2) guarda el archivo con el nombre que desees y extensión .reg (por ejemplo ASLR.reg)
3) abre el editor del registro (regedit) y selecciona la opción importar (el archivo que acabas de crear)


https://s25.postimg.cc/5b7xbsz73/sshot-2017-12-07-_11-40-21.jpg
ASLR-fix - corrigiendo la implementación de ASLR mediante el registro de Windows





info:

Windows 8 and later fail to properly randomize every application if system-wide mandatory ASLR is enabled via EMET or Windows Defender Exploit Guard

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   &   
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
     /     bleepingcomputer

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


« Última modificación: Noviembre 10, 2018, 09:59:29 am por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.