Windows, ASLR disabilitato di default

Un meccanismo di sicurezza fondamentale viene in pratica reso inutile da una configurazione incorretta nel Registro di Windows dalla versione 8 alla più recente 10. Un problema grave ma di facile soluzione in attesa della patch ufficiale
Un meccanismo di sicurezza fondamentale viene in pratica reso inutile da una configurazione incorretta nel Registro di Windows dalla versione 8 alla più recente 10. Un problema grave ma di facile soluzione in attesa della patch ufficiale

L’obiettivo del sistema noto come ASLR (Address Space Layout Randomization) è ridurre la superficie degli attacchi ( buffer overrun ed exploit) rendendo casuali gli indirizzi di memoria utilizzati durante l’esecuzione di codice, ma nelle ultime versioni di Windows questa funzionalità di sicurezza è stata resa praticamente inutile da una gestione incorretta da parte di Microsoft.

A evidenziare l’ennesimo caso imbarazzante per gli ingegneri di Redmond è stato Will Dormann, lo stesso responsabile della recente scoperta della vulnerabilità vecchia di 17 anni nell’editor di equazioni matematiche di Office.

Analizzando il comportamento di eqnedt32.exe , Dormann si è accorto che la funzionalità ASLR funziona correttamente solo sugli OS fino a Windows 7 ; nelle versioni successive (Windows 8, Windows 8.1 e Windows 10), la configurazione del Registro usata da Microsoft fa si che il codice dell’eseguibile venga caricato nella stessa zona di memoria ogni volta, a ogni riavvio e anche su macchine differenti.

Microsoft ha modificato i valori del Registro di configurazione usati per ASLR, portando quindi alla comparsa del bug scoperto dal ricercatore e rendendo la funzionalità di sicurezza – implementata sugli OS per computer sin dal lontano 2003, e a partire da Vista nel caso di Windows – praticamente inutile.

Redmond dovrebbe fornire una patch correttiva in tempi non eccessivamente lunghi, ma in attesa della pezza ufficiale è già possibile ripristinare il corretto funzionamento di ASLR usando un file REG correttivo reso disponibile da BleepingComputer .

Link copiato negli appunti

Ti potrebbe interessare

21 11 2017
Link copiato negli appunti