新闻快讯
< >

ASLR高危漏洞:黑客可轻易锁定Win8和Win10重要数据

E安全11月22日讯 一位安全专家找到解决微软地址空间层随机化的方法,能够突破这种用于保护操作系统免受内存类攻击的手段。
由于此次在地址空间布局随机化(简称ASLR)机制中发现的新漏洞,目前广泛在用的微软Windows主流版本面临严重的安全威胁。

ASLR机制中现漏洞

卡耐基梅隆大学CERT-CC高级漏洞分析师Will Dormann(威尔·多曼)发现并报告了这项漏洞。他解释称,由于通过EMET在系统内强制启用的ASLR具有零熵(非随机,本应是随机分配内存地址,但实际上地址是固定的),因此各受影响系统“无法受到任何有效保护”。

这意味着攻击者将能够轻松利用Windows 8及后续更新系统中的内存损坏漏洞,并导致ASLR保护无效化。ASLR的预期作用在于能够更好地解决内存损坏类错误,但事实上并不能真正实现这一效果。

-E安全

ASLR

地址空间布局随机化(ASLR)支持作为一个系统加固技术,被大多数主要的桌面和移动操作系统所支持。

ASLR自Windows Vista时期起正式亮相,通过将系统可执行程序随机装载到内存里,可防止代码复用类攻击,例如缓冲溢出攻击。ASLR还能通过让那些正受攻击的系统文件崩溃来误导恶意软件。iOS、Android、Windows、MacOS和Linux都使用ASLR,以便让系统更安全。

自Windows 8开始,微软公司开始提供系统级强制ASLR功能。即使对于不支持ASLR的应用程序,管理员同样能够实现程序位置随机化。

EMET则是一款免费工具,微软公司此前利用其保护未启用ASLR以及其它漏洞利用解决工具的应用程序。管理员可通过EMET界面启用这些功能。而到Windows 10 Fall Creators Update版本,其将EMET的关键功能整合到了Windows Defender Exploit Guard当中。

漏洞影响范围

此项安全漏洞会影响到通过微软增强缓解体验工具包(简称EMET)或者Windows Defender Exploit Guard启用ASLR功能的Windows 8、Windows 8.1以及Windows 10系统。Exploit Guard能够选择自下而上为整个系统启用ASLR。

正如Dormann的发现,Windows 8、Windows 8.1以及Windows 10中的ASLR实际上并没有对内存位置进行随机化处理。如果Exploit Guard中的默认GUI显示为“默认为开启”,将导致程序被重新定位到可预测的地址。

-E安全

美国国土安全部(DHS)的一位发言人表示,这可能会导致多种潜在的攻击风险。

误以为自己受到ASLR保护的用户可能会遭遇多种潜在风险;例如在未经请求的消息中打开附件。在正常情况下,只要ASLR能够顺利起效,那么即使消息本身存在钓鱼风险,用户也不会受到影响。但由于事实证明ASLR无法真正起效,因此受害者的系统很可能被攻击者所侵入,并导致其借此访问更多其它系统。

不属于“安全”缺陷?

微软公司指出,这一问题并不属于安全缺陷。其解释称卡耐基梅隆大学CERT/CC发现并向US-CERT报告的这项问题的关键,在于使用Exploit Guard与EMET配置ASLR的非默认设置。该公司正在调查并解决这一配置问题。

微软公司的一位发言人表示,“US CERT所描述的问题并不属于安全漏洞。ASLR的运行方式与设计思路并无不同,运行Windows默认配置的客户不会承受更高风险。”

CERT/CC目前还没有找到这个问题的实际解决方案。

Dormann在其个人博文当中为管理员们提供了缓解措施。他建议大家利用特定的注册表值在Windows 8或更高版本当中以自下而上方式强制启用ASLR系统。

此外,企业则应利用纵深防御策略以保护自己的网络、用户及数据免受未授权访问的侵扰。

相关阅读:
预警:微软零日漏洞CVE-2017-8759已被用于传播恶意软件

Windows 10默认浏览器曝新漏洞:可被攻击者窃取cookie与密码数据
美国防部整合部署Windows 10平台工作将于年底前完成
快禁用!Windows 10偷偷上传用户击键记录至微软服务器
研究人员利用应用程序路径绕过Windows 10中的UAC机制

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。