US-CERT advierte sobre falla en implementación de ASLR en Windows

El Equipo de respuesta ante emergencias informáticas de los EE.UU., US-CERT, advierte sobre una vulnerabilidad en la implementación de la distribución aleatoria del espacio de direcciones (ASLR) que afecta a Windows 8, Windows 8.1 y Windows 10. Esta vulnerabilidad permite que un atacante remoto tome el control de un sistema infectado.

Microsoft dijo estar investigando el asunto.

El ASLR es una técnica de seguridad informática utilizada por la mayoría de los sistemas operativos de escritorio y moviles. ASLR evita la ejecución de códigos maliciosos que explotan vulnerabilidades en la memoria. Los sistemas operativos iOS, Android, Windows, macOS y Linux la utilizan para la protección de los sistemas.

Con los años, evadir la ASLR se ha convertido en una especie de competencia entre los atacantes y los investigadores en seguridad informática. Sin embargo, este último problema con la ASLR tiene relación con la implementación de ASLR en Windows.

Según Will Dormann, analista experto en vulnerabilidades en CERT, con el lanzamiento de Windows 8 Microsoft introdujo un error en la forma de implementar ASLR en 2012. Desde entonces, afirma Dormann, la vulnerabilidad ha permanecido, llegando a afectar también a Windows 10.

“Windows 8, y versiones posteriores, no aleatorizan correctamente todas las aplicaciones si la ASLR, obligatoria en todo el sistema, se activa mediante EMET o Windows Defender Exploit Guard”, apunta Dormann. En esas condiciones específicas, una implementación inadecuada podría abrir una ventana para que un atacante lance un ataque que explote vulnerabilidades en la memoria.

Microsoft comentó a Threatpost que reconoce este problema.

“El problema descrito por US-CERT no es una vulnerabilidad”. ASLR funciona según su diseño y los usuarios que ejecutan las configuraciones predeterminadas de Windows no corren ningún riesgo. US-CERT descubrió que ocurre un problema cuando Windows Defender Exploit Guard y EMET configuran los ajustes no predeterminados para ASLR, y proporcionó paliativos. Microsoft está investigando y tratará el problema de la configuración como corresponde”, sostuvo Microsoft.

El problema está relacionado con la forma en que ASLR protege contra los ataques. ASLR organiza de forma aleatoria las áreas de memoria donde se ejecutan los programas. En lugar de ejecutarse en áreas predecibles de memoria que un atacante podría anticipar, ASLR aleatoriza el proceso.

Pero lo que Dormann descubrió es que la aplicación errónea de ASLR por parte de Microsoft hace que los programas se trasladen cada vez a direcciones predecibles.

“Tanto EMET como Windows Defender Exploit Guard habilitan ASLR en todo el sistema pero sin habilitar el enfoque ascendente ASLR. Aunque la protección de Windows Defender Exploit tiene una opción para cubrir todo el sistema con el enfoque ascendente de ASLR, el valor predeterminado GUI de “Activado por defecto” no refleja el valor de registro subyacente (desactivado). Esto hace que los programas sin /DYNAMICBASE se trasladen, pero sin ninguna entropía. El resultado es que estos programas se trasladan, pero a la misma dirección cada vez que se reinicia el equipo, e incluso entre diferentes sistemas”, explicó Dormann en un artículo sobre vulnerabilidades para US-CERT.

Dormann dijo que descubrió la vulnerabilidad cuando habilitó el enfoque ascendente de ASLR en todo el sistema en Windows 8. El investigador explicó en Twitter: “A partir de Windows 8.0, el ASLR obligatorio para todo el sistema (habilitado vía EMET) posee cero entropía, lo que básicamente lo inutiliza”.

Starting with Windows 8.0, system-wide mandatory ASLR (enabled via EMET) has zero entropy, essentially making it worthless. Windows Defender Exploit Guard for Windows 10 is in the same boat. More details to come…https://t.co/xMR5qIKVGH

— Will Dormann (@wdormann) November 16, 2017

EMET son las siglas en inglés del kit de herramientas de experiencia de mitigación mejorada, una utilidad que sirve para prevenir la explotación de vulnerabilidades en los programas.

Sobre el impacto de este error de configuración de ASLR, Dormann añadió:

“En Windows 8 y en sistemas más modernos en los que ASLR se habilita en todo el sistema a través de EMET o Windows Defender Exploit Guard, las aplicaciones no dinámicas se trasladarán a un área predecible, anulando así la función básica del ASLR obligatorio. Esto puede facilitar la explotación de algunas vulnerabilidades.

El boletín de US-CERT además indica que aún no se han publicado parches para esta vulnerabilidad. Sin embargo, se dispone de un paliativo que consiste en habilitar el enfoque ascendente de ASLR en todo el sistema en aquellos sistemas que posean ASLR obligatorio en todo el sistema.

Asimismo, Dormann agradece a Matt Miller, ingeniero de seguridad del Centro de Respuesta de Seguridad de Microsoft, por su colaboración. Microsoft respondió a nuestra solicitud de sus comentarios para este informe.

Fuente: Threatpost