Компьютерная команда экстренной готовности США (US-CERT) заявила о наличии уязвимости в реализации технологии ASLR на ОС Windows 8, Windows 8.1 и Windows 10. Лазейка позволяет удаленным злоумышленникам захватить управление системой. Представители Microsoft заверили, что изучают проблему.

Рандомизация адресного пространства (Address Space Layout Randomization, ASLR) — это технология повышения безопасности системы, применяемая в большинстве популярных настольных и мобильных ОС. ASLR призвана предотвращать атаки на подсистему памяти с последующим выполнением кода. Эта технология стоит на страже iOS, Android, Windows, macOS и Linux.

Со временем обход ASLR стал профессиональным видом спорта среди злоумышленников и белых хакеров. Новейшая брешь существует исключительно в реализации ASLR на ОС Windows от Microsoft.

Согласно исследованию Уилла Дорманна (Will Dormann), старшего аналитика по уязвимостям в CERT, компания Microsoft привнесла ошибку в ASLR еще в 2012 году, с выпуском ОС Windows 8. С тех пор уязвимость так и кочует от версии к версии и со временем перешла на Windows 10.

«Windows 8 и более свежие версии ОС некорректно выполняют рандомизацию для каждого приложения, если принудительная общесистемная ASLR-защита включена через EMET или Exploit Guard в Защитнике Windows», — пишет Дорманн. В этом случае у злоумышленника появляется возможность провести атаку на подсистему памяти.

В ответ на запрос Threatpost о комментарии представители Microsoft заявили, что в компании знают о проблеме.

«Найденная специалистами US-CERT недоработка не может считаться уязвимостью. Технология ASLR исправно функционирует, и пользователям стандартных конфигураций Windows ничто не угрожает. Исследователи из US-CERT выявили недочет при нестандартных настройках ASLR, заданных через Exploit Guard в Защитнике Windows и EMET, и предложили обходные пути для его нейтрализации. Компания Microsoft исследует проблему конфигурации и соответствующим образом ее решит», — прокомментировали в Microsoft.

Проблема подрывает механизм, с помощью которого ASLR защищает систему от атак. Суть его в том, что ASLR случайным образом выбирает ячейки памяти, где будет выполняться программа. Чтобы хакер не мог предугадать область памяти, в которой исполняется приложение, ASLR рандомизирует выделенное адресное пространство.

Однако Дорманн обнаружил, что в реализации ASLR от Microsoft во всех случаях программы перемещаются на прогнозируемые адреса.

«Как EMET, так и Exploit Guard в Защитнике Windows включают общесистемную защиту ASLR, не активируя общесистемную функцию «ASLR снизу вверх». Хотя в Exploit Guard предусмотрен общесистемный параметр, включающий «ASLR снизу вверх», исходное значение «Включено по умолчанию», отображаемое в интерфейсе, не соответствует связанному параметру реестра, где функция не включена. В результате программы без параметра /DYNAMICBASE перемещаются в памяти без какой-либо энтропии. Другими словами, программы каждый раз перемещаются на одни и те же адреса после перезагрузки, и даже на разных системах», — пишет Дорманн в бюллетене US-CERT по уязвимости.

Исследователь натолкнулся на брешь, включив общесистемную защиту ASLR в Windows 8. В Twitter он описал свое открытие следующим образом: «Начиная с Windows 8.0, принудительная общесистемная ASLR-защита (включаемая через EMET) опирается на нулевую энтропию и по сути бесполезна».

EMET расшифровывается как Enhanced Mitigation Experience Toolkit — это утилита для защиты от эксплойта программных уязвимостей.

По мнению Дорманна, неправильная конфигурация ASLR может привести к таким последствиям: «В Windows 8 и более новых системах с общесистемной защитой ASLR, включенной через EMET или Exploit Guard в Защитнике Windows, приложения без параметра DYNAMICBASE будут перемещаться в предсказуемые места, сводя на нет всю пользу принудительной ASLR-защиты. Такое поведение может облегчить эксплуатацию некоторых классов уязвимостей».

В бюллетене US-CERT отмечено, что в настоящий момент патч к этой уязвимости отсутствует. В качестве обходного решения следует включить общесистемную функцию «ASLR снизу вверх» на системах с принудительной общесистемной ASLR-защитой.

Дорманн также поблагодарил Мэтта Миллера (Matt Miller), специалиста по безопасности из Microsoft Security Response Center, за помощь в исследовании. Компания Microsoft пообещала прокомментировать отчет эксперта.

Категории: Уязвимости