¿Por qué es tan exitosa la explotación de EternalBlue cuando es probable que ASLR esté habilitado en las máquinas modernas? Puede que me equivoque, ya que no estoy familiarizado con las ventanas internas. No puedo encontrar ninguna explicación sobre esto, incluyendo this . Cualquier enlace sería muy apreciado.
Gracias.
De RiskSense P.19:
La omisión ASLR de la vulnerabilidad original de EternalBlue explota la debilidad de que el HAL Heap (utilizado por la Capa de abstracción de hardware) se ubicó en 0xffffffffffd00000 hasta Microsoft Windows 10 Redstone 2 (abril de 2017).
Una región de este tipo en la que un desplazamiento fijo es suficiente para omitir ASLR.
De la Risk Sense PDF (abre un PDF):
3.6.2 DEP Bypass
A partir de algún momento en Microsoft Windows 8 / 8.1 (Server 2012), el HAL Heap se convirtió en no ejecutable. Una tabla de páginas de memoria virtual La entrada (PTE) contiene información sobre una ubicación de memoria, como base direcciones físicas, modo de anillo de CPU, un bit sucio, y comenzando con el introducción de DEP forzada por hardware, un bit No eXecute (NX) en el desplazamiento 63. Si se establece el bit NX e intentamos mover el puntero de instrucción a la página, un pánico del núcleo evitará la explotación.
En general, las omisiones para ASLR se basan en encontrar una dirección conocida. ASLR es generalmente una aleatorización de una vez en el inicio para procesos de kernel / sistema. Entonces, si puede encontrar la dirección del punto (estructura, función, DLL, etc.), puede calcular las compensaciones para otros que le interesan.
No soy una PYME en ASLR, pero esa es la vista de alto nivel.
Lea otras preguntas en las etiquetas exploit-development aslr