La protección de memoria mejorada de Windows 8 podrá soportar ataques de desbordamiento de búfer

Recientemente, los principales proveedores de software (como Adobe y Microsoft) se han centrado en aumentar el costo de los atacantes que escriben código de explotación, en lugar de intentar reducir la cantidad de vulnerabilidades en sus productos. Después de darse cuenta de que el software perfecto no es posible, los proveedores comienzan a concentrarse en mitigar los ataques y se esfuerzan por hacer que el código de explotación del atacante consuma más tiempo y sea menos rentable. En las características de seguridad de la actualización de Windows 8, vemos que Microsoft ha dado un gran salto en esta área. En la nueva versión del sistema operativo que se lanzará en octubre, la protección de memoria mejorada podrá soportar ataques de desbordamiento de búfer, lo que principalmente conducirá a ataques de escalamiento de privilegios contra aplicaciones o el kernel. Chris Valasek, científico de seguridad senior e investigador de Coverity, y Tarjei Mandt, investigador de vulnerabilidad senior de Azimuth Security, estudiaron las primeras versiones públicas de Windows 8 (desde la vista previa del desarrollador hasta la última versión de la versión), especialmente Windows 8. Características de seguridad del montón. En la conferencia Black Hat 2012, los dos investigadores presentarán sus conclusiones. "Desde la perspectiva de la corrupción del montón, si soy un atacante, preferiría escribir código de vulnerabilidad para Windows 7, en lugar de Windows 8", dijo Valasek, "Microsoft ha recorrido un largo camino". El camino, han invertido muchos pensamientos. " El desbordamiento del búfer del montón es más difícil de implementar que el desbordamiento del búfer basado en la pila. Los ataques basados ​​en Heap van más allá del límite de espacio de memoria por ejecutables maliciosos y esencialmente "falsifican" el sistema operativo para ejecutar el comando. Normalmente, un atacante puede atacar el sistema de forma remota, y si el ataque de desbordamiento del búfer tiene éxito, el atacante puede obtener los mismos privilegios del sistema que la aplicación atacada u obtener acceso de nivel de raíz al kernel. Las nuevas características de Windows 8 incluyen un administrador de memoria actualizado, el Administrador de montón de Windows y el Asignador de grupo de kernel de Windows. El administrador del montón asigna aleatoriamente espacio de memoria, lo que dificulta que un atacante pueda predecir dónde un ataque de desbordamiento de búfer debe inyectar código malicioso. En versiones anteriores de Windows, la asignación de espacio de memoria no era aleatoria. Windows 8 también incluye AppContainers, un recinto de seguridad que determina los permisos para las aplicaciones de Windows. Valasek dijo que las aplicaciones de Windows 8 están más controladas que Windows Vista o Windows 7, después de todo, Windows Vista y Windows 7 dependen del nivel de integridad para controlar la funcionalidad de la aplicación, sabiendo el nivel de integridad. Más relajado que AppContainers. Las características de seguridad de estos Windows 8 actualizados no son las primeras características de seguridad integradas de Microsoft en el sistema operativo. A partir de Windows Vista, Microsoft usa la asignación aleatoria del diseño del espacio de direcciones (ASLR) y la Prevención de ejecución de datos (DEP) para mejorar la seguridad de la aplicación y la protección del kernel. ASLR y DEP no están habilitados de forma predeterminada, lo que es diferente de la protección de memoria de Windows 8. "Estas mitigaciones se han implementado para abordar los problemas de seguridad", dijo Valasek. "Realmente hacen que sea más difícil implementar la tecnología. Sin embargo, las hazañas son ubicuas. "