US-CERT 表示 Windows 系统中的 ASLR 实现存在缺陷

美国计算机应急准备小组（US-CERT）警告说，微软在实现地址空间布局随机化（ASLR）方案上存在缺陷，Windows 8、Windows 8.1 和 Windows 10 系统都受到了影响，该错误可能允许攻击者远程控制受影响的系统，目前微软正在处理这件事情。

ASLR 保护是大多数主流操作系统中使用的漏洞利用防护措施，它能缓解基于内存的代码执行攻击，在 iOS、Android、Windows、MacOS 和 Linux 中都使用此技术来保护系统的安全。多年来如何绕过 ASLR 保护一直是攻击者所关注的，而最新的这个 ASLR 问题却与 Windows 系统中的 ASLR 实现有关。

按照 CERT 高级漏洞研究员 Will Dormann 的说法，微软在 2012 年发布 Windows 8 系统时引入了一个 ASLR 实现方面的错误。从那时起这个错误就一直存在，并影响到了后续的 Windows 10 系统。

Dormann 写道：“如果用户是通过 EMET 或 Windows Defender Exploit Guard 来启用 system-wide 的强制 ASLR 保护，那么 Windows 8 及更高版本的系统将无法正确地对每个进程的地址空间进行随机化处理。” 在特定条件下，一个错误的实现可能会为攻击者提供一个很好的攻击机会。

“US-CERT 报告的这个问题不能算漏洞，操作系统实现了 ASLR 保护所预设的功能，且运行在 Windows 默认配置下的用户不会面临更高的漏洞利用风险。 US-CERT 是在 Windows Defender Exploit Guard 和 EMET 下进行非默认 ASLR 配置时发现的该问题并提供了解决方案。我们正在做有关调查，并将解决相应配置产生的问题。” 微软解释道。

这个问题实际上与 ASLR 如何防护攻击有关系，它是通过随机化进程的地址空间来实现的，使得恶意者不能在可预见的内存地址处执行代码。但 Dormann 发现，微软在实现 ASLR 时的缺陷会导致程序每次都被重定位到可预测的地址上。

“EMET 和 Windows Defender Exploit Guard 在启用 system-wide ASLR 时没有同时启用 system-wide bottom-up ASLR 的选项。尽管 Windows Defender Exploit Guard 包含 system-wide bottom-up ASLR 的选项，但 GUI 界面中对该选项的设置并不改变相应注册表中的键值（默认为未设置），这就导致程序在重新定位时没有设置 /DYNAMICBASE 选项，因此，程序在每次重新启动时都会被重定位到相同的地址处。” Dormann 在 US-CERT 的报告中写道。

原文链接：https://threatpost.com/us-cert-warns-of-aslr-implementation-flaw-in-windows/128948/

本文由看雪翻译小组 BDomne 编译