Nuova vulnerabilità scoperta in Windows 8 e Windows 10 riguardante la funzionalità ASLR del Sistema di protezione integrato.
Un nuovo Bug nella sicurezza di Windows 8 e versioni successive renderebbe inutile la funzionalità ASLR, aggiunta al Sistema fin dai tempi di Windows Vista e pienamente integrata in Windows Defender Security Center di Windows 10, ulteriormente potenziato con il rilascio di Fall Creators Update e delle nuove opzioni per proteggere i dispositivi ospitanti da attacchi Ransomware.L'ASLR (Address Space Layout Randomization) utilizza un indirizzo di memoria casuale - random - per libreria e memoria di Windows, rendendo la vita difficile agli attacchi informatici e svolgendo una funzione importante per la protezione dei dati contenuti nel Sistema operativo. In Windows 8, 8.1 e Windows 10, l'ASLR non riesce ad utilizzare indirizzi casuali, rendendosi, di fatto, inutile ed aprendo una falla nel Sistema di protezione.
Il nuovo Bug è stato scoperto e reso pubblico da Will Dormann, noto ricercatore per la sicurezza informatica, che riassume il problema nella maniera seguente:Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.— Will Dormann (@wdormann) 15 novembre 2017
Conclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com/Jp10nqk1NQ
Sia EMET che Windows Defender Protezione Exploit abilitano l'ASLR a livello di Sistema senza abilitare anche l'ASLR bottom-up a livello di Sistema. Sebbene Windows Defender Protezione Exploit disponga di un'opzione di sistema per ASLR bottom-up a livello di sistema, il valore GUI predefinito di "Avvio per impostazione predefinita" non riflette il valore di Registro sottostante (unset). Ciò fa sì che i programmi senza / DYNAMICBASE vengano spostati, ma senza alcuna entropia. Il risultato di ciò è che tali programmi saranno trasferiti, ma allo stesso indirizzo ogni volta attraverso riavvii e anche attraverso sistemi diversi.In attesa di un intervento di Microsoft, Dormann ha anche illustrato un modo per arginare la falla e rendere efficiente la funzionalità ASLR anche in Windows 8/10.
Come abbiamo visto decine di volte, applichiamo la procedura per aggiungere chiavi al Registro di sistema utilizzando un file .reg, creato ad hoc.
Start > Accessori Windows > Blocco note.
In Blocco note, copiate il contenuto seguente, cliccate su File > Salva con nome, scegliendo Tutti i file e estensione .reg, nelle opzioni di salvataggio.
Windows Registry Editor Version 5.00Recatevi, quindi, nella cartella scelta per il posizionamento ed eseguite un doppio click sulla voce corrispondente per aggiungere lo script al Registro.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Fonte: MSPU
Articolo di HTNovo