Alfonso Maruccia

Windows, ASLR disabilitato di default

Un meccanismo di sicurezza fondamentale viene in pratica reso inutile da una configurazione incorretta nel Registro di Windows dalla versione 8 alla più recente 10. Un problema grave ma di facile soluzione in attesa della patch ufficiale

Roma - L'obiettivo del sistema noto come ASLR (Address Space Layout Randomization) è ridurre la superficie degli attacchi (buffer overrun ed exploit) rendendo casuali gli indirizzi di memoria utilizzati durante l'esecuzione di codice, ma nelle ultime versioni di Windows questa funzionalità di sicurezza è stata resa praticamente inutile da una gestione incorretta da parte di Microsoft.

A evidenziare l'ennesimo caso imbarazzante per gli ingegneri di Redmond è stato Will Dormann, lo stesso responsabile della recente scoperta della vulnerabilità vecchia di 17 anni nell'editor di equazioni matematiche di Office.

Analizzando il comportamento di eqnedt32.exe, Dormann si è accorto che la funzionalità ASLR funziona correttamente solo sugli OS fino a Windows 7; nelle versioni successive (Windows 8, Windows 8.1 e Windows 10), la configurazione del Registro usata da Microsoft fa si che il codice dell'eseguibile venga caricato nella stessa zona di memoria ogni volta, a ogni riavvio e anche su macchine differenti.


Microsoft ha modificato i valori del Registro di configurazione usati per ASLR, portando quindi alla comparsa del bug scoperto dal ricercatore e rendendo la funzionalità di sicurezza - implementata sugli OS per computer sin dal lontano 2003, e a partire da Vista nel caso di Windows - praticamente inutile.

Redmond dovrebbe fornire una patch correttiva in tempi non eccessivamente lunghi, ma in attesa della pezza ufficiale è già possibile ripristinare il corretto funzionamento di ASLR usando un file REG correttivo reso disponibile da BleepingComputer.

Alfonso Maruccia
Notizie collegate
  • AttualitàOffice, vulnerabilità vecchia di 17 anniI ricercatori scovano l'ennesimo bug nella suite per la produttività di Microsoft, una falla che Office si porta dietro da quasi due decadi e che potrebbe presto diventare un'autentica cyber-arma a disposizione delle peggiori intenzioni
  • SicurezzaAnC, attacco hardware contro ASLRIdentificata una nuova tipologia di attacco contro la tecnologia ASLR, una difesa "primaria" adottata da anni da tutte le principali architetture di processore disponibili sul mercato. Difficile difendersi, avvertono i ricercatori
40 Commenti alla Notizia Windows, ASLR disabilitato di default
Ordina
  • Per gli utenti di WinX che non avessero già sperimentato e ai quali possa interessare, questo buon suggerimento da Bleepingcomputer.com con file .reg da inserire nel Registro di sistema cambia i settaggi "system-wide" (DEP permanent, ASLR High-Entropy o Force-Relocate, Bottom-up per ogni eseguibile; occorre un riavvio del computer).
    Invece EMET 5.5.2 adesso li può cambiare in modo diverso e pare non efficiente in WinX.

    Evinco che sia valido per tutti e non solo per chi utilizza EMET.
    Se poi sia efficace é un'altra questione.
    non+autenticato
  • Raccontata così la notizia è falsa, in quanto interessa solo gli eseguibili che non sono stati compilati con ASLR, tipicamente vecchio software di terze parti. La maggior parte degli eseguibili che compongono Windows 10 sono compilati con tale tecnica e quindi tale falla non si presenta.
    non+autenticato
  • Balle!
    non+autenticato
  • - Scritto da: suc
    > Raccontata così la notizia è falsa, in quanto
    > interessa solo gli eseguibili che non sono stati
    > compilati con ASLR, tipicamente vecchio software
    > di terze parti.

    In altre parole TUTTO QUELLO CHE C'E' SUL COMPUTER DI UN WINARO, tranne office e outlook, che hanno di ben peggio.

    > La maggior parte degli eseguibili
    > che compongono Windows 10 sono compilati con tale
    > tecnica e quindi tale falla non si
    > presenta.

    Quindi qualcuno non e' compilato con ASLR, e quindi la falla si presenta.
  • - Scritto da: panda rossa
    > Quindi qualcuno non e' compilato con ASLR, e
    > quindi la falla si
    > presenta.

    Veramente niente è compilato con ASLR... ASLR è una feature di OS...

    Comunque, tu sai vero cos'è EMET? E come funziona? Si?
    e allora sai anche che pochissimi lo usano, perché la maggior parte degli pseudo-sistemisti Windows ha la tua (in)competenza (e l'ultima dimostrazione qui sopra con "compilo con ASLR"?
    Ecco, bravo... Ora puoi andare.
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > > Quindi qualcuno non e' compilato con ASLR, e
    > > quindi la falla si
    > > presenta.
    >
    > Veramente niente è compilato con ASLR... ASLR è
    > una feature di
    > OS...

    Dillo all'OP, e' lui che ha parlato di compilare con ASRL.
    Io ho solo risposto.

    > Comunque, tu sai vero cos'è EMET? E come
    > funziona? Si?

    Tu chiedi a me come funziona in un commento ad un articolo in cui si dice che winx funziona di merda?

    > e allora sai anche che pochissimi lo usano,
    > perché la maggior parte degli pseudo-sistemisti
    > Windows ha la tua (in)competenza (e l'ultima
    > dimostrazione qui sopra con "compilo con
    > ASLR"?

    Quindi parli per competenza, essendo tu uno di questi pseudo-sistemisti clicca clicca.

    Per fortuna che linux non ha bisogno di queste bambinate.
  • Linux ha ASLR.

    Edit: forse ti riferivi ad EMET. In tal caso il commento è fuori luogo.
    -----------------------------------------------------------
    Modificato dall' autore il 21 novembre 2017 23.16
    -----------------------------------------------------------
  • - Scritto da: panda rossa
    > - Scritto da: Max
    > Veramente niente è compilato con
    > ASLR... ASLR è una feature di OS...

    - Scritto da: panda rossa
    > Dillo all'OP, e' lui che ha parlato di compilare
    > con ASRL.
    > Io ho solo risposto.

    Hai risposto:

    > Quindi qualcuno non e' compilato con ASLR,
    > e quindi

    sei incompetente come l'OP.

    > > Comunque, tu sai vero cos'è EMET? E come
    > > funziona? Si?
    >
    > Tu chiedi a me [il millantatore pluri-sputtanato, N.d.R.]
    > come funziona in un commento ad un articolo in
    > cui si dice che winx funziona di merda?

    Insomma non sai neanche questa.
    Hai vinto una bella pala per sotterrarti, complimenti!
    Clicca per vedere le dimensioni originali
    non+autenticato
  • >
    > Per fortuna che linux non ha bisogno di queste
    > bambinate.

    No, ha bisogno di professionisti competenti, capaci, e sopratutto non ha bisogno di sistemisti dilettanti. Insomma ha bisogno di tutto tranne che di nullità come te.

    Asino.
    maxsix
    10806
  • Non parlo per Windows che non conosco ma su GNU/Linux affinché l'ASLR sia realmente usata è necessario che il binario e tutte le librerie che linka siano compilati come PIE (Position Independent Executable) ovvero passando a gcc/ld -pie, suppongo che su Windows la situazione sia analoga.

    La sostanziale differenza è che su GNU/Linux puoi attivare/disattivare l'ASLR scrivendo 0, 1 o 2 in un semplice file di testo /proc/sys/kernel/randomize_va_space e ovviamente puoi ricompilare quel che vuoi. Su Windows sei nelle mani del vendor.
    non+autenticato
  • - Scritto da: xte

    > Su Windows sei nelle mani del vendor.

    Eh? Nessuno t'impedisce di ricompilarti roba anche su win.
    O di andarti a cercare i "trucchetti" (modifiche valori registro, ecc.) per abilitare/disabilitare quello che ti pare.
    non+autenticato
  • No, nessuno mi impedisce di compilare qualcosa su Windows, peccato però che il 99% del software sia closed source quindi non ho le source da compilare, anche se avessi un compilatore e tutta la toolchain di sviluppo adatta...
    non+autenticato
  • Che succede se non uso il file reg in attesa della patch ??
    user_
    1090
  • succede che un programma puo' alterare le strutture dati e l'interfaccia di un altro con semplicita' disarmante , e con appena appena un poco di complicazione in piu' eseguire una sua routine al posto di quella del secondo programma . A seconda dello scenario puo' essere una cosa ininfluente come pure un grosso guaio .
    non+autenticato
  • - Scritto da: Lorenzo
    > succede che un programma puo' alterare le
    > strutture dati e l'interfaccia di un altro con
    > semplicita' disarmante , e con appena appena un
    > poco di complicazione in piu' eseguire una sua
    > routine al posto di quella del secondo programma
    > . A seconda dello scenario puo' essere una cosa
    > ininfluente come pure un grosso guaio
    > .


    Quindi ci hanno fatto credere che nel mirabolante winx ogni processo gira in una specie di sandbox per poterlo proteggere da cose come questa, e ora si scopre che era la solita panzana a beneficio dei bevitori di balle, e in realta' il tutto era solo apparenza, subordinata ad una chiave di registro, che qualunque malware e' in grado di disattivare e quindi ripristinare la vulnerabilita'.

    Niente di nuovo dall'architettura di winsozz: defective by design.
  • - Scritto da: panda rossa
    > .... e in realta' il tutto era
    > solo apparenza, subordinata ad una chiave di
    > registro, che qualunque malware e' in grado di
    > disattivare e quindi ripristinare la
    > vulnerabilita'.

    Te, al solito, hai capito tutto di come funziona Windows eh!
    E di come funzionano la modifica del registry, i permessi, lo UAC ecc.

    Bravo! Dai, che sento ci stai per regalare una nuova perla, dopo Minix... Ficoso
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > > .... e in realta' il tutto era
    > > solo apparenza, subordinata ad una chiave di
    > > registro, che qualunque malware e' in grado
    > di
    > > disattivare e quindi ripristinare la
    > > vulnerabilita'.
    >
    > Te, al solito, hai capito tutto di come funziona
    > Windows
    > eh!

    Certo. Funziona di merda.
    Lo hai letto il titolo o sei qui solo per trollare?

    > E di come funzionano la modifica del registry, i
    > permessi, lo UAC
    > ecc.

    Funzionano di merda.
    Lo hai letto il sottotitolo o sei qui solo per trollare?
  • - Scritto da: panda rossa
    > Lo hai letto il titolo o sei qui solo per
    > trollare?
    > Lo hai letto il sottotitolo o sei qui solo per
    > trollare?

    Complimenti, sei arrivato a leggere persino il sottotitolo. Rotola dal ridere
    Stai migliorando, fino a poco tempo fa commentavi leggendo solo il titolo. Rotola dal ridere

    Il prossimo passo è arrivare a leggere la prima riga dell'articolo Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa

    > Quindi ci hanno fatto credere che nel mirabolante
    > winx ogni processo gira in una specie di sandbox

    Con ASLR non c'entra niente.
  • - Scritto da: panda rossa
    > - Scritto da: Lorenzo
    > > succede che un programma puo' alterare le
    > > strutture dati e l'interfaccia di un altro
    > con
    > > semplicita' disarmante , e con appena appena
    > un
    > > poco di complicazione in piu' eseguire una
    > sua
    > > routine al posto di quella del secondo
    > programma
    > > . A seconda dello scenario puo' essere una
    > cosa
    > > ininfluente come pure un grosso guaio
    > > .
    >
    >
    > Quindi ci hanno fatto credere che nel mirabolante
    > winx ogni processo gira in una specie di sandbox
    > per poterlo proteggere

    Asino del cazzo.
    Scrivi sulla lavagna: sono un sistemista di merda, di compilazioni e sviluppo non capisco un cazzo.

    100 volte e metti il cappello.

    Asino.
    maxsix
    10806
  • - Scritto da: maxsix
    > sono un sistemista di
    > merda, di compilazioni e sviluppo non capisco un
    > cazzo.

    Avrai un sacco di difetti, ma bisogna riconoscere che sei sincero.
  • - Scritto da: panda rossa
    > - Scritto da: maxsix
    > > sono un sistemista di
    > > merda, di compilazioni e sviluppo non
    > capisco
    > un
    > > cazzo.
    >
    > Avrai un sacco di difetti, ma bisogna riconoscere
    > che sei
    > sincero.

    Non sono un sistemista. I lavori inutili li lascio a te.
    maxsix
    10806
  • se il sistemista e' un lavoro inutile siamo a posto ... quindi se chi gestisce i sistemi e' inutile devono essere inutili anche questi sistemi ( a meno che non funzionino automagicamente ) il fatto che il tuo telefono funzioni , che il tuo pc si colleghi ad internet e tu possa scambiare e ricevere email , che tu possa prenotare una visita in ospedale , ecc ecc sono tutte cose inutili ...
    non+autenticato