بیش از یک دهه قبل، مایکروسافت روشی به نام ASLR ارائه داد. در این روش نواحی کلیدی حافظه بهصورت تصادفی تغییر داده و در هر بار اجرای برنامه، دادههای آن در مکانهای مختلفی ذخیره میشوند. به دلیل وجود این ویژگی، مهاجم نمیتواند آدرسهای موردنیاز خود را برای سوءاستفاده پیشبینی نماید.
در ویندوز 10، به نظر میرسد در رابطه با این روش مشکلی وجود دارد و دادهها در مکان یکسانی ذخیره میشوند. برای درک اهمیت این مشکل مثالی ذکر میشود. در این مثال تصور شده است که فردی صندوق پستی ناامنی دارد که دائماً از آن سرقت میشود. یکی از راههای مقابله با این مشکل این است که چندین صندوق پستی پراکنده برای این فرد درنظر گرفته شود و کارمند پست هر روز، نامههای فرد را در زیرمجموعهای از صندوقهای پستی موجود (بهطور مثال 30 صندوق پستی کل) قرار دهد. با این کار برای یافتن نامه باید تمامی صندوقها جستجو شوند که این کار برای دزد نامهها زمانبر خواهد بود.
درواقع، در ویندوز 7 و ASLRموجود در ابزار EMET (Enhanced Mitigation Experience Toolkit)، آدرس بارگذاری شده برای eqnedt32.exe در هر راهاندازی مجدد، متفاوت است؛ اما در ویندوز 10، چه با EMETیا با WDEG(Windows Defender Exploit Guard)، آدرس پایهی eqnedt32.exeهر بار 0×10000است. درنتیجه ویندوز 10 نمیتواند ASLRرا همچون ویندوز 7 اجرا کند!
حال تصور میشود که بهجای قرار دادن پنج نامه در پنج مکان مختلف، کارمند پستی آنها را همیشه در مکانهای یکسانی قرار دهد. درواقع این موضوع مشکل موجود در ویندوز 8 و ویندوز 10 است که بدون هیچگونه تصادفی، حفاظتی نیز وجود نخواهد داشت.
برای دریافت این مستند کلیک نمایید.
- 7