Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Zufällige Speicherzuweisung: Windows-Bug hebelt Sicherheitsmechanismus ASLR aus

22.11.2017

 zur Newsdatenbank home

Sicherheitsforscher Will Dormann vom US-amerikanischen CERT Coordination Center (CERT/CC) fand heraus, dass ein seit Windows 8 bestehender Programmierfehler dazu führt, dass der Sicherheitsmechanismus Address Space Layout Randomization (ASLR) von Windows 8, 8.1 und 10 unter bestimmten Voraussetzungen nicht richtig funktioniert. Das CERT/CC fasst weitere Details in einem Sicherheitshinweis zusammen.

Normalerweise sorgt ASLR dafür, dass in den Speicher geladenen Prozessen auf Zufallsbasis Adressbereiche zugewiesen werden. Dieser Sicherheitsmechanismus ist seit dem Fall Creators Update fester Bestandteil von Windows 10, des Enhanced Mitigation Experience Toolkit (EMET) und des Schutzpakets Windows Defender Exploit Guard. Sowohl der Exploit-Schutz als auch EMET ermöglichen das systemweite Erzwingen von ASLR, auch "system-wide mandatory ASLR" genannt.

Jedoch funktioniert eben dieser systemweite Mechanismus nicht: Dormanns Tests ergaben, dass geladene Anwendungen nach erneutem Laden und nach dem Reboot trotz aktiviertem ASLR wieder an derselben Speicheradresse landen. Das ist der Fall sowohl auf Win 8 und 8.1 in Kombination mit EMET als auch auf Win 10 samt Exploit-Schutz zu. Anwendungen, deren Entwickler den Sicherheitsmechanismus mit der Linkeroption /DYNAMICBASE bewusst implementiert, sind nicht von dem Fehler betroffen, da sich bei diesen das Erzwingen von ASLR erübrigt.

"System-wide mandatory ASLR" funktioniert seit Windows 8, wie aus dem Sicherheitshinweis des CERT/CC hervorgeht, nur noch dann ordnungsgemäß, wenn zugleich auch das Feature "system-wide bottom-up ASLR" aktiv ist, bei der es sich um eine ASLR-Variante mit verbesserter Entropie handelt.

Zudem weist das CERT/CC in diesem Zusammenhang auch darauf hin, dass der über die Windows-Defender-Oberfläche erreichbare Exploit-Schutz in Windows 10 zwar ebenfalls die Option, Bottom-Up-ASLR systemweit zu aktivieren, biete, diese Einstellung jedoch nicht mit dem systeminternen (falsch gesetzten) Registry-Wert korrespondiere.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89