Alerte à la santé, alerte à la liberté. Silvano Trotta, J.J Crèvecoeur, Tal Schaller, T. Casasnovas
Des chercheurs en sécurité du CERT ont déclaré que Windows 10, Windows 8,1 et Windows 8 ne parviennent pas à randomiser correctement chaque application si le système ASLR obligatoire est activé via EMET ou Windows Defender Exploit Guard. Microsoft a répondu en disant que l`implémentation de ASLR (Address Space Randomization) sur Microsoft Windows fonctionne comme prévu. Jetons un coup d`œil à la question.
ASLR est développé en tant que Randomisation de disposition d`espace d`adresse, la fonctionnalité a fait ses débuts avec Windows Vista et est conçue pour empêcher les attaques de réutilisation de code. Les attaques sont évitées en chargeant des modules exécutables à des adresses non prévisibles, atténuant ainsi les attaques qui dépendent généralement du code placé à des emplacements prévisibles. ASLR est affiné pour lutter contre les techniques d`exploitation telles que la programmation orientée retour qui repose sur le code généralement chargé dans un emplacement prévisible. Cela mis à part un des inconvénients majeurs de l`ASLR est qu`il doit être lié avec l`indicateur / DYNAMICBASE.
Champ d`application
l`ASLR offre une protection à l`application, mais elle ne l`est pas. couvrir les atténuations à l`échelle du système. En fait, c`est pour cette raison que Microsoft EMET a été publié. l`EMET s`est assuré qu`il couvrait à la fois les mesures d`atténuation à l`échelle du système et celles spécifiques aux applications. l`EMET a fini par faire face aux mesures d`atténuation à l`échelle du système en offrant une interface aux utilisateurs. Cependant, à partir de la mise à jour de Windows 10 Fall Creators, les fonctionnalités EMET ont été remplacées par Windows Defender Exploit Guard.
l`ASLR peut être activé obligatoirement pour EMET et Windows Defender Exploit Guard pour les codes qui ne sont pas liés au drapeau / DYNAMICBASE et cela peut être implémenté soit par application, soit à l`échelle du système. Cela signifie que Windows déplacera automatiquement le code dans une table de relocalisation temporaire et que le nouvel emplacement du code sera différent pour chaque redémarrage. À partir de Windows 8, les modifications de conception exigeaient que l`ASLR à l`échelle du système soit activé pour fournir l`entropie à l`ASLR obligatoire.
Le problème ASLR est toujours plus efficace lorsque l`entropie est plus. En termes beaucoup plus simples, l`augmentation de l`entropie augmente le nombre d`espace de recherche qui doit être exploré par l`attaquant. Cependant, les deux, EMET et Windows Defender Exploit Guard permettent ASLR à l`échelle du système sans activation ASLR bottom-up à l`échelle du système. Lorsque cela se produit, les programmes sans / DYNMICBASE seront déplacés mais sans aucune entropie. Comme nous l`avons expliqué plus haut, l`absence d`entropie faciliterait la tâche aux attaquants puisque le programme redémarrera la même adresse à chaque fois.
Ce problème affecte actuellement Windows 8, Windows 8.1 et Windows 10 qui ont un ASLR à l`échelle du système via Windows Defender Exploit Guard ou EMET. Comme la relocalisation d`adresses n`est pas de nature DYNAMICBASE, elle remplace généralement l`avantage de ASLR
Ce que Microsoft a à dire
Microsoft a été rapide et a déjà émis une déclaration. c`est ce que les gens de Microsoft avaient à dire,
"Le comportement de l`ASLR obligatoire que le CERT a observé est de conception et ASLR fonctionne comme prévu. l`équipe WDEG étudie le problème de configuration qui empêche l`activation de l`ASLR ascendant à l`échelle du système et travaille pour y remédier en conséquence. Ce problème ne crée pas de risque supplémentaire car il se produit uniquement lorsque vous tentez d`appliquer une configuration autre que par défaut aux versions existantes de Windows. Même alors, la posture de sécurité efficace n`est pas pire que ce qui est fourni par défaut et il est facile de contourner le problème à travers les étapes décrites dans cet article "
Ils ont spécifiquement détaillé les solutions qui aideront à atteindre le niveau désiré de sécurité. Il existe deux solutions de contournement pour ceux qui souhaitent activer la randomisation ASLR et ascendante pour les processus dont l`EXE n`a pas opté pour ASLR.
1] Sauvegardez les éléments suivants dans optin.reg et importez-les pour activer la randomisation ASLR ascendante et ascendante à l`échelle du système.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Gestionnaire de session kernel] "MitigationOptions" = hex: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
2] Activer la randomisation ASLR et ascendante obligatoire via programme configuration spécifique en utilisant WDEG ou EMET.
Dit Microsoft - Ce problème ne crée pas de risque supplémentaire car il se produit uniquement lorsque vous tentez d`appliquer une configuration autre que par défaut aux versions existantes de Windows.
LG prévoit de construire deux lignes de production de cellules solaires dans l'espace occupé par une ligne de fabrication PDP à LG Electronics envisage de construire deux nouvelles lignes de production de cellules solaires dans l'espace actuellement occupées par une chaîne de fabrication de PDP (panneau d'affichage à plasma) dans son usine de Gumi en Corée du Sud, a annoncé lundi.
Investira 220 milliards de wons (167 millions de dollars) pour remplacer sa ligne A1 PDP par les deux lignes de production solaire. La ligne A1 est actuellement dormante et repose sur une technologie ancienne, et est donc prête à être réinvestie ou remplacée.
Analyser l`espace disque, la taille des dossiers et des disques dans Windows avec Ventilateur d`espace disque
Analyser l`espace disque avec Ventilateur d`espace disque, Il s`agit d`un outil gratuit d`analyse de l`espace disque avec de jolis graphismes, pour Windows 7.
Espace parallèle vs espace parallèle lite: en quoi diffèrent-ils?
L'application Lite est-elle meilleure? Découvrez la différence entre Parallel Space et Parallel Space Lite dans cet article.