web-dev-qa-db-fra.com

Eternalblue exploit et aslr

Pourquoi l'EternalBlue exploite-t-il si bien le succès lorsque ASLR est probablement activé sur les machines modernes? Je me trompe peut-être que je ne connais pas avec Windows Internals. Je ne trouve aucune explication à ce sujet, y compris Ceci . Tous les liens seraient très appréciés.

Merci.

3
gigasai

Roraz et 40f4 ont fait de véritables bons points.

Une autre chose est que, en particulier dans le secteur de la santé ou du secteur financier, respectivement dans toutes les entreprises qui doivent utiliser des logiciels spécialement conçues pour leur utilisation exquise, il pourrait parfois ne pas être possible de mettre à jour le système d'exploitation sans causer des bogues dans des logiciels essentiels et coûteux ne peut pas être facilement remplacé. En particulier, les hôpitaux travaillent beaucoup avec des versions de fenêtres assez anciennes, ce qui les rend très vulnérables. La prochaine chose est, ce n'est pas seulement les systèmes de bureau; Toute périphérique (E.G. Medical) peut accumuler sur un système d'exploitation tel que Windows, et d'après ce que j'ai appris, ceux que j'ai appris à peine recevoir des mises à jour.

Ce n'est pas parce qu'il y a des corrections qui ne signifie pas que les correctifs sont une option facile à prendre pour tout le monde. L'utilisateur privé ne sera pas concerné par ce problème, mais l'utilisateur privé est plutôt rarement le groupe cible pour les exploits comme EternalBleue.

Une addition:

0xFFFFFFFF FFD00000 est l'adresse virtuelle des systèmes 64 bits, s'il est 32 bits, il ne suffit que 0xFFD00000

4
Melissa Loos

Du PDF PDF PDF (Ouvre un PDF):

3.6.2 Pont de dérivation de DEP
Démarrage de plusieurs fois dans Microsoft Windows 8/8.1 (Server 2012), le Hal Heap est devenu non exécutable. Une entrée de page de mémoire virtuelle (PTE) contient des informations sur un emplacement de mémoire, telles que les adresses physiques de base, le mode Bague CPU, un bit sale et commençant par l'introduction du député exécutif du matériel, un peu exécuté (NX) au décalage. 63. Si le bit NX est défini et que nous essayons de déplacer le pointeur d'instructions sur la page, une panique de noyau empêchera l'exploitation.

En général, les contournements d'ASLR s'appuient sur la recherche d'une adresse connue. ASLR est généralement une randomisation unique lors du démarrage des processus de noyau/système. Donc, si vous pouvez trouver l'adresse du point (structure, fonction, dll, etc.), vous pouvez calculer les compensations aux autres que vous aimez.

Je ne suis pas un SME sur ASLR, mais c'est la vue de haut niveau.

3
RoraΖ