EternalBlue exploit y ASLR

2

¿Por qué es tan exitosa la explotación de EternalBlue cuando es probable que ASLR esté habilitado en las máquinas modernas? Puede que me equivoque, ya que no estoy familiarizado con las ventanas internas. No puedo encontrar ninguna explicación sobre esto, incluyendo this . Cualquier enlace sería muy apreciado.

Gracias.

    
pregunta gigasai 14.06.2017 - 11:26
fuente

2 respuestas

1

De RiskSense P.19:

La omisión ASLR de la vulnerabilidad original de EternalBlue explota la debilidad de que el HAL Heap (utilizado por la Capa de abstracción de hardware) se ubicó en 0xffffffffffd00000 hasta Microsoft Windows 10 Redstone 2 (abril de 2017).

Una región de este tipo en la que un desplazamiento fijo es suficiente para omitir ASLR.

    
respondido por el 40F4 14.07.2017 - 17:22
fuente
1

De la Risk Sense PDF (abre un PDF):

  

3.6.2 DEP Bypass
  A partir de algún momento en Microsoft Windows 8 / 8.1 (Server 2012), el HAL Heap se convirtió en no ejecutable. Una tabla de páginas de memoria virtual   La entrada (PTE) contiene información sobre una ubicación de memoria, como base   direcciones físicas, modo de anillo de CPU, un bit sucio, y comenzando con el   introducción de DEP forzada por hardware, un bit No eXecute (NX) en el desplazamiento   63. Si se establece el bit NX e intentamos mover el puntero de instrucción a la página, un pánico del núcleo evitará la explotación.

En general, las omisiones para ASLR se basan en encontrar una dirección conocida. ASLR es generalmente una aleatorización de una vez en el inicio para procesos de kernel / sistema. Entonces, si puede encontrar la dirección del punto (estructura, función, DLL, etc.), puede calcular las compensaciones para otros que le interesan.

No soy una PYME en ASLR, pero esa es la vista de alto nivel.

    
respondido por el RoraΖ 14.06.2017 - 14:04
fuente

Lea otras preguntas en las etiquetas