Auweia, nächster Ausrutscher von Microsoft beim Thema Sicherheit. Den Entwicklern ist ein Fehler unterlaufen, der dazu führt, dass der ASLR-Mechanismus in Windows 8, Windows 8.1 und Windows 10 nicht immer richtig funktioniert. Es gibt aber einen Fix.
Address Space Layout Randomization (ASLR) ist eine Sicherheitstechnologie für Computer, die es Angreifern durch ‘Speicherverwürfelung’ beim Laden des Codes schwerer machen soll, einen Pufferüberlauf auszunutzen. Diese Technik ist eigentlich in allen modernen Betriebssystemen irgendwie enthalten. Bei Windows Vista hat Microsoft ASLR erstmals im gesamten System implementiert.
Windows 10: ASLR im Defender enthalten
Um das Feature zu aktivieren, mussten Benutzer Microsoft EMET unter Windows Vista oder Windows 7 installieren, um ASLR in systemweiten und/oder anwendungsspezifischen Zuständen zu aktivieren. EMET wird aber 2018 eingestellt und Microsoft hat dessen Funktionen in Windows 10 integriert.
Ruft man das Windows Defender Security Center (z.B. über die Einstellungen-App) auf, kann man unter App- & Browsersteuerung auf die Einstellungen für den Exploit-Schutz zugreifen.
Zumindest auf meinem Testsystem sind nicht alle ASLR-Einstellungen standardmäßig aktiviert.
Merkwürdigkeit beim Office-Formeleditor
Erst vor einigen Stunden habe ich im Blog-Beitrag Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren? über den Patch beim Office-Formeleditor berichtet. Im Formeleditor EQNEDT32.EXE, der nach wie vor in allen Microsoft Office-Paketen enthalten ist, gab es eine Sicherheitslücke CVE-2017-11882, die beim November 2017-Patchday geschlossen wurde.
Bei der Untersuchung dieser Sicherheitslücke entdeckte der CERT/CC Schwachstellenanalytiker Will Dormann, dass ASLR die Speichercodepositionen von Anwendungs-Binärdateien unter bestimmten Bedingungen nicht zufällig randomisierte. Während bei Windows 7 und EMET die Speicheradressen geladener Module durch ASLR bei neuem Windows-Neustart zufällig waren, traf dies in Windows 10 nicht mehr zu. In einem Tweet publizierte Dormann seine Erkenntnisse.
Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.
Conclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com/Jp10nqk1NQ— Will Dormann (@wdormann) 15. November 2017
Bei jedem Neustart wurde der fehlerhafte Formeleditor EQNEDT32.EXE an die gleiche Speicheradresse geladen. Laut diesem CERT-Alert verhindert ein Bug in Form eines fehlerhaften Registrierungseintrags ab Windows 8 (und damit in Windows 8.1 und Windows 10) die saubere Nutzung von ASLR.
Fix: Die Registrierungswerte nachtragen
Es gibt glücklicherweise einen Fix der ASLR unter den betreffenden Windows-Versionen wieder funktionsfähig macht. Hierzu ist eine .reg-Datei mit folgendem Inhalt zu erstellen:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Dann lässt sich die .reg-Datei unter einem Administratorkonto per Doppelklick importieren. Alternativ kann regedit.exe mit administrativen Berechtigungen aufgerufen werden. Dann kann der Import der Registierungsdaten über das Datei-Menü erfolgen. (via Bleeping Computer)
Nachtrag: Microsoft hat zum Thema Stellung bezogen – siehe Windows 8/8.1/10 ASLR-Patzer ist ein Feature, sagt Microsoft
Ähnliche Artikel:
Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?
Defender Application Control blockt Programme/Downloads
Windows 10 V1709: Klippen beim Defender?
Illusion GAP: Windows Defender ausgehebelt
Windows Defender Cloud-Echtzeitschutz
Windows Defender Offline scannt nicht
Bei „Bleeping Computer“ gibt’s das auch als Datei: https://download.bleepingcomputer.com/reg/ASLR-fix.reg
Wenn man den Schalter im „Defender“ eischaltet (Defender -> App & Browsersteuerung -> Einstellungen für Exploit-Schutz -> obligatorische ADSR -> standardmäßig aktiviert), reicht das nicht. Es Steht im hex-Bereich des Schlüssels der dritte Zweierblock auf „00“ in dem angegebenen Schlüssel steht er auf „01“.
Ist der Fehler mit dem Fix von Bleeping Computer behoben oder müssen noch Einstellungen gemacht werden?
Hoffen wir mal das das dann so OK ist. Nach Herrn Borns Beschreibungen hier und bei „BC“ soll das ja wohl reichen.
In manchen Versionen scheint es das Exploit-Schutz Menü nicht zu geben.
Bei mir fehlt es bspw.
Win10, 1703, Build 15063.726
Ich habe diesen ganzen Expoidschutzkram schwer im Verdacht, dass er mein nagelneues System ausbremst. Unter Windows 7 hatte ich nie Probleme mit der Geschwindigkeit. Nach Wechsel auf Windows 10 verlangsamte sich alles bei ordentlichem Multitasking (aber trotzdem nur 20% Speicherbelegung). Ich dachte, ich kann es mit neuer Technik erschlagen. Denkste! Sicher ist alles schneller, aber eben nur so lange ich nicht mehrere ordentliche Programme gleichzeitig offen habe (hieß es nicht deswegen WindowS ?). Nach abschalten des Ablaufsteuerungsschutzes hat es sich ein wenig gebessert. Irgenwo las ich, dass Windows 10 beim Anlegen neuer Prozesse um die 300ms benötigt. Windows 7 benötigte 2-3ms. Merken die es in Redmont überhaupt noch? Ich will mit dem Rechner professionell arbeiten und nicht jedesmal in die Systemtiefen abtauchen, um dort die Bremsen zu lösen. Ich sage einfach mal voraus: Rechner werden nie mehr schneller werden weil Microsoft in gleichen Maße, wie Hardware schneller wird das Betriebssystem mit immer mehr Quatsch ausstattet. Wann kommt endlich ein anderes Betriebssystem, auf dem alle meine nötgen Programme laufen?