ونڈوز پر پتے کی جگہ لے آؤٹ Randomization ہے کے نفاذ

CERT میں سیکورٹی محققین ونڈوز 10، ونڈوز 8،1 اور ونڈوز 8 کو مناسب طریقے سے ہر درخواست randomize کرنے کے نظام کی وسیع لازمی ASLR سے Emet یا ونڈوز دفاع استحصال گارڈ کے ذریعے چالو حالت میں ہے تو اس میں ناکام رہتے ہیں کہ بیان کیا ہے. مائیکروسافٹ نے یہ کہہ کر جواب دیا کہ مائیکروسافٹ ونڈوز پر ایڈریس اسپیس لے آؤٹ رینڈمائزیشن (ASLR) کے نفاذ کے طور پر کام کر رہا ہے. ہمیں اس مسئلے پر نظر ڈالیں.

ایس ایس ایل آر کیا ہے

ASLR ایڈریس اسپیس لے آؤٹ رینڈمیزشن کے طور پر بڑھایا جاتا ہے، خصوصیت ونڈوز وسٹا کے ساتھ پہلی بار بنا دیا اور کوڈ دوبارہ استعمال کے حملوں کو روکنے کے لئے ڈیزائن کیا گیا ہے. غیر متوقع قابل پتے پر عملدرآمد ماڈیولز لوڈ کرنے سے حملوں کو روکنے سے روکنے کے لئے حملوں کو روکنے سے روک دیا جاتا ہے، جس طرح عام طور پر ممکنہ مقامات پر رکھا جاتا کوڈ پر منحصر ہے. ASLR کو ریٹرن پر مبنی پروگرامنگ جیسے استحصال کی تکنیکوں سے لڑنے کے لئے ٹھیک نظر آتا ہے جو کوڈ پر انحصار کرتا ہے جو عام طور پر پیش گوئی کے قابل مقام میں ہوتا ہے. ASLR کے اہم downsides میں اس کے علاوہ میں سے ایک اس کے ساتھ منسلک کیا جا کرنے کی ضرورت ہے / DYNAMICBASE پرچم.

استعمال کا دائرہ کار

ASLR پیشکش کی درخواست کو تحفظ، لیکن یہ نہیں کیا نظام وسیع پیمانے پر کم سے کم. اصل میں، اس وجہ سے یہ ہے کہ مائیکروسافٹ ای ایم ای کو جاری کیا گیا تھا. EMET نے اس بات کا یقین کیا کہ یہ دونوں نظام وسیع اور درخواست کی مخصوص کمی کو ڈھونڈتی ہے. EMET صارفین کے لئے سامنے کے آخر کی پیشکش کی طرف سے نظام وسیع پیمانے پر کمی کے چہرے کے طور پر ختم ہو گیا. تاہم، سے Emet کی خصوصیات کو اپ ڈیٹ ونڈوز 10 فال تخلیق کار سے شروع ونڈوز دفاع کے ساتھ تبدیل کر دیا گیا ہے استحصال گارڈ.

ASLR دونوں سے Emet لئے لازمی فعال کیا جا سکتا ہے، اور ونڈوز دفاع / DYNAMICBASE پرچم سے منسلک نہیں کر رہے ہیں کہ کوڈز گارڈ استحصال اور یہ ایک یا فی درخواست کی بنیاد پر یا نظام کے وسیع بنیاد پر لاگو کیا جا سکتا ہے. اس کا کیا مطلب یہ ہے کہ ونڈوز خود کار طریقے سے ایک عارضی نقل مکانی کی میز پر کوڈ منتقل کر دے گا اور اس طرح کوڈ کا نیا مقام ہر ربوٹ کے لئے مختلف ہو جائے گا. ونڈوز 8 سے شروع ہو رہا ہے، ڈیزائن تبدیلیوں سسٹم وار ASLR نظام گیر نیچے سے اوپر ASLR لازمی ASLR کرنے درمائلت کی فراہمی کے لئے فعال ہونا چاہئے کہ لازمی.

مسئلہ

ASLR ہمیشہ جب زیادہ مؤثر ہے ایٹروپی زیادہ ہے. ایٹروپی میں بہت ساری اصطلاحات میں اضافے میں تلاش کی جگہ کی تعداد میں اضافہ ہوتا ہے جو حملہ آور کی طرف سے تلاش کرنے کی ضرورت ہے. تاہم، دونوں، EMET اور ونڈوز کے دفاعی ڈسپلے گارڈ نظام کے وسیع ASLR کو بغیر کسی نظام کو وسیع کرنے کے بغیر ASLR کو چالو کرسکتا ہے. جب ایسا ہوتا ہے تو اس پروگراموں کے بغیر / ڈینی میکیکنس منتقل ہوجائے گا لیکن بغیر کسی ایپروپی کے بغیر. ہم نے پہلے واضح کیا گیا ہے درمائلت کی عدم موجودگی میں حملہ آوروں نے پروگرام ایک ہی پتہ ہر بار دوبارہ شروع کرے گا کے بعد سے کے لئے یہ نسبتا آسان ہوجائے گی.

یہ مسئلہ اس وقت ونڈوز 8 کو متاثر کر رہا ہے، ونڈوز 8.1 اور ونڈوز 10 جس کی وجہ سے نظام وسیع ASLR فعال ہونا ونڈوز کے دفاع کے ذریعہ گارڈ یا ای ایم ایٹ سے پتہ چلتا ہے. چونکہ ایڈریس کی منتقلی فطرت میں غیر ڈیمینییکیشن نہیں ہے، یہ عام طور پر ASLR کا فائدہ ختم ہو جاتا ہے.

کیا مائیکرو مائیکروسافٹ کو کہنا ہے

مائیکرو مائکروسافٹ تیز رفتار اور پہلے سے ہی ایک بیان جاری کیا ہے. یہ وہی ہے جو مائیکروسافٹ کے لوگوں کو کہنا تھا،

"لازمی ASLR کا رویہ ہے کہ CERT کا مشاہدہ ڈیزائن کی طرف سے ہے اور ASLR کام کے طور پر کام کر رہا ہے. WDEG ٹیم ترتیب ترتیب کے مسئلے کی تحقیقات کر رہی ہے جس میں نظام کی وسیع صلاحیت کو نیچے سے اوپر ASLR کی روک تھام اور اس کے مطابق اس کو حل کرنے کے لئے کام کرنا ہے. یہ مسئلہ مزید خطرہ پیدا نہیں ہوتا کیونکہ یہ صرف اس صورت میں ہوتا ہے جب ونڈوز کے موجودہ ورژن میں غیر ڈیفالٹ ترتیب کو لاگو کرنے کی کوشش کی جائے. اس کے بعد، مؤثر سیکورٹی کرنسی ڈیفالٹ کی طرف سے فراہم کی گئی ہے کے مقابلے میں کوئی بدتر نہیں ہے اور اس پوسٹ میں بیان کردہ اقدامات کے ذریعے یہ مسئلہ کے ارد گرد کام کرنے کے لئے براہ راست ہے "

انہوں نے خاص طور پر پہلوؤں کی تفصیل میں وضاحت کی ہے جس میں مطلوبہ سطح کو حاصل کرنے میں مدد ملے گی. سیکورٹی کے. ان لوگوں کے لئے دو پہلوؤں ہیں جنہوں نے اس عمل کے لئے لازمی ASLR اور نیچے سے بے ترتیب تصمیم کو پسند کرنا چاہتے ہیں جن کے EXE نے ایس ایس ایل آر میں آپٹ آؤٹ نہیں کیا.

1] مندرجہ بالا optin.reg میں محفوظ کریں اور لازمی طور پر ASLR اور نیچے کے اوپر بے ترتیب ترتیب نظام کو چالو کرنے کیلئے اسے درآمد کریں.

ونڈوز رجسٹری ایڈیٹر ورژن 5.00 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Session Manager Kernel] "MitigationOptions" = ہیکس: ​​00،01،01،00،00،00،00،00،00،00،00،00،00،00،00،00

2] پروگرام کے ذریعہ لازمی ASLR اور نیچے کے اوپر تصادفی کو فعال کریں- WDEG یا EMET کا استعمال کرتے ہوئے مخصوص ترتیب.

مائیکرو مائیکروسافٹ نے کہا- یہ مسئلہ اضافی خطرے کا باعث نہیں بنتا کیونکہ یہ صرف اس صورت میں ہوتا ہے جب ونڈوز کے موجودہ ورژن پر غیر ڈیفالٹ ترتیب کو لاگو کرنا ہوتا ہے.