Nuovo Bug per ASLR in Windows 8/10 - Come risolvere

Nuova vulnerabilità scoperta in Windows 8 e Windows 10 riguardante la funzionalità ASLR del Sistema di protezione integrato.

Un nuovo Bug nella sicurezza di Windows 8 e versioni successive renderebbe inutile la funzionalità ASLR, aggiunta al Sistema fin dai tempi di Windows Vista e pienamente integrata in Windows Defender Security Center di Windows 10, ulteriormente potenziato con il rilascio di Fall Creators Update e delle nuove opzioni per proteggere i dispositivi ospitanti da attacchi Ransomware.
L'ASLR (Address Space Layout Randomization) utilizza un indirizzo di memoria casuale - random - per libreria e memoria di Windows, rendendo la vita difficile agli attacchi informatici e svolgendo una funzione importante per la protezione dei dati contenuti nel Sistema operativo. In Windows 8, 8.1 e Windows 10, l'ASLR non riesce ad utilizzare indirizzi casuali, rendendosi, di fatto, inutile ed aprendo una falla nel Sistema di protezione.

Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.
Conclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com/Jp10nqk1NQ

— Will Dormann (@wdormann) 15 novembre 2017

Il nuovo Bug è stato scoperto e reso pubblico da Will Dormann, noto ricercatore per la sicurezza informatica, che riassume il problema nella maniera seguente:

Sia EMET che Windows Defender Protezione Exploit abilitano l'ASLR a livello di Sistema senza abilitare anche l'ASLR bottom-up a livello di Sistema. Sebbene Windows Defender Protezione Exploit disponga di un'opzione di sistema per ASLR bottom-up a livello di sistema, il valore GUI predefinito di "Avvio per impostazione predefinita" non riflette il valore di Registro sottostante (unset). Ciò fa sì che i programmi senza / DYNAMICBASE vengano spostati, ma senza alcuna entropia. Il risultato di ciò è che tali programmi saranno trasferiti, ma allo stesso indirizzo ogni volta attraverso riavvii e anche attraverso sistemi diversi.

In attesa di un intervento di Microsoft, Dormann ha anche illustrato un modo per arginare la falla e rendere efficiente la funzionalità ASLR anche in Windows 8/10.

Come abbiamo visto decine di volte, applichiamo la procedura per aggiungere chiavi al Registro di sistema utilizzando un file .reg, creato ad hoc.
Start > Accessori Windows > Blocco note.
In Blocco note, copiate il contenuto seguente, cliccate su File > Salva con nome, scegliendo Tutti i file e estensione .reg, nelle opzioni di salvataggio.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Recatevi, quindi, nella cartella scelta per il posizionamento ed eseguite un doppio click sulla voce corrispondente per aggiungere lo script al Registro.

Fonte: MSPU

Articolo di HTNovo