Perché l'exploit EternalBlue è così efficace quando ASLR è probabilmente abilitato su macchine moderne? Potrei sbagliarmi perché non ho familiarità con gli interni di Windows. Non riesco a trovare alcuna spiegazione al riguardo, tra cui questo . Qualsiasi link sarebbe molto apprezzato.
Grazie.
Da RiskSense P.19:
Il bypass ASLR dell'originale exploit EternalBlue sfrutta la debolezza che l'HAL Heap (utilizzato da Hardware Abstraction Layer) era statico situato a 0xffffffffffd00000 fino a Microsoft Windows 10 Redstone 2 (aprile 2017).
Una regione del genere con un offset fisso sufficiente per aggirare l'ASLR.
Da PDF di rischio [/ Sense] (apre un PDF):
3.6.2 DEP Bypass
Starting sometime in Microsoft Windows 8/8.1 (Server 2012), the HAL Heap became non-executable. A virtual memory Page Table Entry (PTE) contains information about a memory location, such as base physical addresses, CPU ring mode, a dirty bit, and starting with the introduction of hardware-enforced DEP, a No eXecute (NX) bit at offset 63. If the NX bit is set and we attempt to move the instruction pointer to the page, a kernel panic will prevent the exploitation.
In generale i bypass per ASLR si basano sulla ricerca di un indirizzo conosciuto. ASLR è generalmente una randomizzazione una tantum all'avvio per i processi kernel / di sistema. Quindi se riesci a trovare l'indirizzo di punto (struttura, funzione, DLL, ecc.), Puoi calcolare gli offset ad altri che ti interessano.
Non sono una PMI su ASLR, ma questa è la vista di alto livello.
Leggi altre domande sui tag exploit-development aslr