Global Preloader
Vulnerabilidad
(22/Nov/2017) US-CERT advierte sobre el defecto de implementación de ASLR en Windows

US-CERT advierte sobre el defecto de implementación de ASLR en Windows

El Equipo de Preparación para Emergencias Informáticas de EE. UU. Advierte de una vulnerabilidad en la implementación de Aleación de diseño de espacios de direcciones que afecta a Windows 8, Windows 8.1 y Windows 10. La vulnerabilidad podría permitir que un atacante remoto tome el control de un sistema afectado. Microsoft dijo que está investigando el asunto.

La asignación aleatoria de espacio de direcciones (ASLR) se defiende como una tecnología de endurecimiento de sistemas utilizada en la mayoría de los principales sistemas operativos de escritorio y móviles. ASLR se usa para frustrar ataques de ejecución de código basados ​​en memoria. iOS, Android, Windows, macOS y Linux usan ASLR para mantener los sistemas más seguros.

Con los años, pasar por alto ASLR se ha convertido en algo así como un deporte para los atacantes y los investigadores de sombrero blanco. Sin embargo, este último problema de ASLR tiene que ver con la implementación de ASLR de Microsoft en Windows.

Según Will Dormann, analista senior de vulnerabilidades en CERT, Microsoft introdujo un error en la implementación de ASLR en 2012, con el lanzamiento de Windows 8. Desde entonces, según Dormann, la vulnerabilidad ha continuado y también afecta a Windows 10. "Windows 8 y posteriores no asignan correctamente todas las aplicaciones al azar si ASLR obligatorio para todo el sistema está habilitado a través de EMET o Windows Defender Exploit Guard". En esas condiciones específicas, una implementación defectuosa podría crear una oportunidad para que un atacante realice un ataque basado en la memoria. "El problema descrito por el US-CERT no es una vulnerabilidad. ASLR funciona según lo diseñado y los clientes que ejecutan las configuraciones predeterminadas de Windows no corren un riesgo mayor. El US-CERT descubrió un problema con la configuración de configuraciones no predeterminadas para ASLR utilizando Windows Defender Exploit Guard y EMET, y proporcionó soluciones provisionales. Microsoft está investigando y abordará el problema de configuración en consecuencia ".

El problema está relacionado con la forma en que ASLR protege contra los ataques. Lo hace aleatorizando dónde se ejecutan los programas en ubicaciones de memoria. En lugar de ejecutar en ubicaciones de memoria predecibles que un hacker puede anticipar, ASLR aleatoriza el proceso.

Pero lo que descubrió Dormann fue que la aplicación defectuosa de ASLR de Microsoft hace que los programas se reubiquen en direcciones predecibles todo el tiempo.

"Tanto EMET como Windows Defender Exploit Guard permiten ASLR en todo el sistema sin también habilitar ASLR ascendente en todo el sistema. Aunque Windows Defender Exploit Guard tiene una opción para todo el sistema para ASLR ascendente en todo el sistema, el valor predeterminado de la interfaz gráfica de usuario 'On por defecto' no refleja el valor de registro subyacente (unset). El resultado de esto es que dichos programas serán reubicados, pero a la misma dirección cada vez que se reinicia el sistema, e incluso a través de diferentes sistemas".

Dormann dijo que descubrió la vulnerabilidad cuando habilitó ASLR en todo el sistema en Windows 8. El investigador lo explicó de esta manera en Twitter: "Comenzando con Windows 8.0, ASLR obligatorio para todo el sistema (habilitado mediante EMET) tiene entropía cero, esencialmente haciéndolo inútil "

EMET significa Enhanced Mitigation Experience Toolkit y es una utilidad que funciona para evitar que se exploten vulnerabilidades de software.

El impacto de este tipo de mala configuración ASLR, Dormann dijo es:

"Windows 8 y los sistemas más nuevos que tienen ASLR en todo el sistema habilitado a través de EMET o Windows Defender Exploit Guard tendrán aplicaciones no DYNAMICBASE reubicadas en una ubicación predecible, anulando así cualquier beneficio de ASLR obligatorio. Esto puede facilitar la explotación de algunas clases de vulnerabilidades ".

Aún no existe ningún parche para esta vulnerabilidad, dijo el portavoz de US-CERT. Sin embargo, se ofrece una solución temporal que comienza con la habilitación de ASLR ascendente en todo el sistema en sistemas que tienen ASLR obligatoria en todo el sistema.

Dormann también acredita a Matt Miller, un ingeniero de seguridad que trabaja para el Microsoft Security Response Center de Microsoft, por la asistencia de investigación.