Beveiliging Windows 8.1 en 10 te verbeteren via registersleutel

[Captain Kirk]

De beveiliging van Windows 8.1 en Windows 10 is te verbeteren door een waarde aan het Windows Register toe te voegen, zo stelt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon University. Het CERT/CC is een door het Amerikaanse ministerie van Binnenlandse Veiligheid gesteunde organisatie die geregeld veiligheidswaarschuwingen, adviezen en advisories uitgeeft.

Afgelopen donderdag waarschuwde het CERT/CC dat een beveiligingsmaatregel genaamd ASLR op Windows 8.1 en 10 niet goed op systeemniveau wordt ondersteund. Address Space Layout Randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties of het besturingssysteem veel lastiger maken.

Om applicaties te beschermen lanceerde Microsoft de gratis beveiligingstool EMET (Enhanced Mitigation Experience Toolkit ). Daarmee is het mogelijk om ASLR in te stellen voor applicaties die hier standaard geen gebruik van maken. Zodoende kan er via EMET een extra beveiligingslaag worden toegevoegd. Ook is het mogelijk om voor het gehele systeem ASLR in te stellen. Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft EMET op Windows 10 vervangen door de Windows Defender Exploit Guard, die dezelfde beveiliging moet bieden.

Zowel EMET als Windows Defender Exploit Guard kunnen ASLR per applicatie of op systeemniveau verplichten. Windowsversies voor Windows 8 doen dit via een waarde in het Windows Register die ervoor zorgt dat programmacode met een zogeheten 'relocation table' automatisch op een andere plek in het geheugen wordt geplaatst en dat de locatie van de code bij elke herstart van het systeem of tussen verschillende systemen verschillend is. Vanaf Windows 8 wordt ASLR op systeemniveau anders geïmplementeerd en moet "bottom-up ASLR" zijn ingeschakeld om de beveiligingsmaatregel van entropie te voorzien.

Zowel EMET op Windows 8 en later als Windows Defender Exploit Guard kunnen ASLR op systeemniveau inschakelen, maar doen dit zonder bottom-up ASLR in te schakelen. Dit zorgt ervoor dat de code wel op een andere plek wordt geplaatst, alleen dat bij elke herstart van het systeem of tussen verschillende systemen steeds van hetzelfde geheugenadres gebruik gemaakt wordt. Daardoor wordt het eenvoudiger voor een aanvaller om de locatie van de code in het geheugen te voorspellen, wat misbruik van bepaalde kwetsbaarheden eenvoudiger kan maken.

Het is echter mogelijk door het toevoegen van een registerwaarde om bottom-up ASLR in te schakelen, zo laat het CERT/CC in een Vulnerability Note weten. De organisatie waarschuwt wel dat het inschakelen van ASLR op systeemniveau voor problemen kan zorgen bij oude videokaartdrivers van AMD/ATI. Deze problemen zijn echter sinds juni 2012 in de drivers van de fabrikant verholpen. Het gaat om de volgende waarde die in het Windows Register moet worden geïmporteerd:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]

"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

 

 

bron: security.nl