Gli ecosistemi Windows 10 di ultima generazione sono, nelle intenzioni di Microsoft Corporation, le piattaforme definitive costruite attorno al paradigma operativo basato sulla cosiddetta filosofia del “Windows-as-a-Service”, in cui i veri protagonisti del cambiamenti sono proprio gli utenti, che attraverso i loro feedback contribuiscono al miglioramento attivo del sistema.
Con l’avvento dei nuovi OS, quindi, lo sviluppatore di Redmond ha voluto rassicurare gli utenti circa la presenza di una piattaforma in continuo aggiornamento, sempre pronta a rispondere ai propri bisogni funzionali, di produttività e sicurezza in ogni contesto operativo e scenario possibile.
Dopo l’invito ad aggiornare gratuitamente a Windows 10 portatosi avanti per un ragionevole lasso di tempo verso coloro che avevano di fatto acquistato una licenza valida dei sistemi Windows 7 e Windows 8.x, la società ha ribadito la necessità di procedere all’adozione di un sistema che non ponesse in secondo piano la sicurezza, ora di pari livello all’aspetto strettamente funzionale.
Ad ogni modo, sebbene la compagnia abbia promesso un’implementazione top-level per i sistemi, c’è sicuramente qualcosa che non va nella gestione della security, verso cui si pongono ora particolari problematiche in relazione al tanto decantato sistema di difesa noto come ASLR (Address Space Layout Randomization).
ASLR rappresenta, come intuibile dal suo acronico, un sistema in grado di generare indirizzi casuali per gli eseguibili in memoria, in modo tale da evitare potenziali focolai di attacco esterni verso quest’ultima. Un sistema che, nello specifico, trova posto nei contesti operativi delle più diversificate piattaforme operative, da Windows a Linux passando per Mac OS ed anche i sistemi mobile Android ed iOS di Google ed Apple. Una misura necessaria, insomma, per prevenire eventuali futuri attacchi.
Comunque sia, stando al ricercatore di sicurezza Will Dormann del CERT / CC della Carnegie Mellon University, il componente ASLR di Windows 10 svolge soltanto parzialmente il suo compito e, a detta dell’interessato, ciò avviene sin dalle prime distribuzioni di sistema Windows 8.
Nelle ultime revisioni di sistema, e con particolare riferimento al Fall Creators Update, ASLR può essere attivato tramite Enhanced Mitigation Experience Toolkit (EMET) di Microsoft, diventato ora parte integrante di Windows Defender Exploit Guard (WDEG).
Il funzionamento selettivo di questa funzione produce effetti indesiderati sulla sicurezza, in quanto el posizioni di memoria vengono riallocate sempre con lo stesso indirizzo. In merito a questo processo di funzionamento, Dormann ha riferito su Twitter che:
“A partire da Windows 8, l’ASLR obbligatorio per tutto il sistema (abilitato tramite EMET) ha un’entropia pari a zero, praticamente inutile. Windows Defender Exploit Guard per Windows 10 è nella stessa situazione”
La scoperta fatta dal ricercatore è avvenuta casualmente nel contesto di una ricerca volta a conclamare la presenza di vulnerabilità nel contesto Microsoft Equation Editor o EQDNEDT32.exeche è stata compilata ben 17 anni fa, molto prima ceh ASLR fosse supportato dagli ecosistemi Windows.
I potenziali pericoli di un sistema così formato si traducono nella concreta possibilità che un amministratore forzi ASLR su EQNEDT32.EXE abilitando di fatto il componente a livello di sistema in EMET o WDEG. Secondo Dormann, di fatto, la transizione da Windows 7 a Windows 8 e successivamente a Windows 10 non ha fatto altro che peggiorare notevolmente le cose. In un suo post, di fatto, si può leggere che:
“In realtà, con Windows 7 ed EMET ASLR a livello di sistema, l’indirizzo caricato per eqnedt32.exe è diverso ad ogni riavvio, ma con Windows 10 con EMET o WDEG, la base per eqnedt32.exe è 0x10000 OGNI VOLTA e pertanto non si può nemmeno lontanamente raffrontare all’ASLR imposto a Windows 7.
I sistemi Windows 8 e versioni recenti dotati di ASLR a livello di sistema abilitato tramite EMET o Windows Defender Exploit Guard avranno le applicazioni non DYNAMICBASE trasferite in una posizione prevedibile, annullando così qualsiasi vantaggio dell’ASLR obbligatorio. Ciò può facilitare lo sfruttamento di alcune classi di vulnerabilità note”
Secondo Dormann, intervenuto per via diretta nel corso di una sua consulenza presso il CERT / CC, non vi è al momento una soluzione concreta al problema e pertanto si attende un riscontro diretto da parte della società sviluppatrice che concorra a fare luce su questa delicata situazione.
