Zabezpiecz swój komputer przed lukami w zabezpieczeniach pamięci jądra KASLR Bypass

Zabezpiecz swój komputer przed lukami w zabezpieczeniach pamięci jądra KASLR Bypass

Jądro systemu Windows służy jako krytyczny most łączący sprzęt i system operacyjny. Dzięki solidnym domyślnym środkom bezpieczeństwa złośliwemu oprogramowaniu trudno jest zinfiltrować system. Jednak rosnące zagrożenia obejścia KASLR wykorzystują obecnie luki w zabezpieczeniach Living Off the Land Drivers (LOLDrivers) i ataki cache timing w celu obejścia podwyższonych uprawnień dostępu. Chociaż te ataki historycznie były skierowane na starsze systemy, dowody sugerują, że obecnie zagrażają systemowi Windows 11 24H2, ujawniając krytyczną pamięć jądra. Poniżej znajduje się kompleksowy przewodnik na temat skutecznego zamykania tych luk w zabezpieczeniach.

Zrozumienie zagrożeń związanych z obejściem KASLR

Jądro systemu Windows skrupulatnie reguluje dostęp do ważnych zasobów systemowych, w tym pamięci i wykorzystania procesora. Jednym z kluczowych zastosowanych środków obronnych jest Kernel Address Space Layout Randomization (KASLR), zaprojektowany w celu ukrywania lokalizacji pamięci, co sprawia, że ​​złośliwe oprogramowanie na poziomie jądra ma ogromne trudności z uzyskaniem dostępu. Jednak ostatnie postępy doprowadziły do ​​wykorzystania nowego sterownika, eneio64.sys, który skutecznie ominął zabezpieczenia KASLR w systemie Windows 11 24H2 od czerwca 2025 r.

Ten konkretny sterownik jest klasyfikowany jako LOLDriver i może zostać naruszony za pomocą techniki znanej jako „Low Stub”.Zasadniczo atakujący wykorzystują skanowanie pamięci i wykształcone zgadywanie, aby ustalić adres pamięci bazowej systemu. Udane obejście jądra otwiera drzwi do eksploatacji w świecie rzeczywistym, podkreślając krytyczny poziom zagrożenia.

Sprawdzanie listy sterowników System32.

Możesz ręcznie sprawdzić folder System32 pod kątem tych sterowników. Jeśli nie wykryjesz żadnych problematycznych sterowników, oznacza to, że są one nieobecne lub zostały prawidłowo usunięte.

Innym godnym uwagi przypadkiem w maju 2025 r.było wykorzystanie metod pomiaru czasu pamięci podręcznej w celu całkowitego ominięcia KASLR. W tym przypadku atakujący zmierzyli opóźnienie dostępu do potencjalnych adresów jądra w zakresie „0xfff” bez konieczności uzyskiwania uprawnień, takich jak SeDebugPrivilege. Chociaż ten atak koncentrował się głównie na systemie Windows 10 i wcześniejszych wersjach systemu Windows 11 (21H2, 22H2, 23H2), użytkownicy systemu Windows 11 muszą przejść na wersję 24H2 lub nowszą, aby wzmocnić swoją obronę. Dla użytkowników, którzy napotykają problemy ze zgodnością podczas aktualizacji do wersji 24H2, przygotowaliśmy listę skutecznych rozwiązań ułatwiających płynne przejście.

Identyfikacja LOLDrivers w celu złagodzenia ryzyka obejścia KASLR

Po 2025 r.ulepszenia zabezpieczeń jądra w systemie Windows 11 24H2 wykorzystały SeDebugPrivilege, aby zapewnić większą ochronę. Niemniej jednak złośliwi aktorzy nadal wykorzystują techniki omijania KASLR za pośrednictwem LOLDrivers, aby zinfiltrować najnowszą wersję systemu Windows 11.

Aby sprawdzić, czy występują problematyczne sterowniki systemowe, uruchom program PowerShell w trybie podwyższonych uprawnień i wykonaj następujące polecenie:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName

Pobierz listę sterowników System32 w trybie podwyższonych uprawnień programu PowerShell.

Po uruchomieniu tego polecenia monitoruj dane wyjściowe dla LOLDrivers. Przykłady takich sterowników to MsIo64.sys, nt3.sys i VBoxTap.sys. Aby zwiększyć swoją czujność, zapoznaj się z uniwersalną listą LOLDrivers.

Microsoft udostępnia kompleksową, zaktualizowaną listę zablokowanych lub nieaktualnych sterowników, która obejmuje LOLDrivers. Możesz pobrać tę listę jako plik XML i wyszukać konkretnie problematyczne sterowniki, takie jak enio64.sys, używając:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}

Wyszukiwanie konkretnego sterownika LOLDriver w programie PowerShell, enio64.sys

Opisana metoda zapewnia, że ​​Twoje urządzenie jest chronione przed podatnymi LOLDrivers, które mogą ułatwić obejście KASLR. Bardziej przyjazne dla użytkownika podejście obejmuje przejście do Zabezpieczenia systemu Windows -> Zabezpieczenia urządzenia -> Szczegóły izolacji rdzenia i potwierdzenie, że integralność pamięci jest aktywowana.

Integralność pamięci jest włączona w obszarze Izolacja rdzenia w Zabezpieczeniach systemu Windows.

Techniki omijania KASLR przypominają zachowanie złośliwego oprogramowania Winos 4.0. Oba są bardzo trwałe i dostarczają ładunki za pośrednictwem złożonego łańcucha ataków.

Wzmocnienie zabezpieczeń systemu Windows poprzez wymuszanie uprawnień SeDebugPrivilege

Ataki typu side-channel na czas pamięci podręcznej stanowią poważne ryzyko związane z technikami omijania KASLR. Gdy atakujący wykorzystują różne metody, aby bezpośrednio manipulować pamięcią jądra, mogą ujawnić adresy jądra bez konieczności używania SeDebugPrivilege, krytycznego środka bezpieczeństwa egzekwowanego od czasu wprowadzenia systemu Windows 11 24H2.

Jednak nawet użytkownicy działający w systemie Windows 10 i starszych wersjach systemu Windows 11 mogą nadal wzmacniać swoje systemy, wymuszając SeDebugPrivilege. Oto szybki sposób, aby to zrobić:

Na urządzeniu z systemem Windows 10/11 Pro lub Enterprise naciśnij polecenie Uruchom, wprowadź secpol.msc, a to spowoduje wyświetlenie okna Zasady zabezpieczeń lokalnych. Przejdź do Zasady lokalne -> Przypisywanie praw użytkownika i kliknij dwukrotnie Debuguj programy.

Kliknij dwukrotnie Debug programs w obszarze Local Policies --> User Rights Assignment.” title=”Kliknij dwukrotnie Debug programs w obszarze Local Policies –> User Rights Assignment.” width=”701″ height=”451″ loading=”lazy” class=”wp-image” src=”https://cdn.thefilibusterblog.com/wp-content/uploads/2025/06/KASLR-Bypass-Local-Security-Policies-Debug-Programs.webp”/></figure> <p>Jeśli ustawienie Debug programs jest włączone dla określonej grupy użytkowników, takiej jak Administratorzy, nie ma potrzeby podejmowania dalszych działań. W przeciwnym razie kliknij <strong>Dodaj użytkownika lub grupę</strong>, aby rozszerzyć to uprawnienie na dodatkowych użytkowników.</p> <figure class=Ustawienie Debugowanie programów jest domyślnie włączone na Twoim urządzeniu.

Po dodaniu nowych użytkowników kliknij Sprawdź nazwy i naciśnij OK. Na koniec wybierz Zastosuj i ponownie kliknij OK, aby sfinalizować zmiany.

Dodawanie nazwy użytkownika lub grupy do listy SeDebugPrivilege.

Jeśli używasz systemu Windows 10/11 Home, nie masz dostępu do zasad zabezpieczeń lokalnych. Zamiast tego uzyskaj dostęp do Edytora rejestru, wpisując regedit. Przejdź do

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Jeśli ten klucz jeszcze nie istnieje, utwórz go. Kliknij prawym przyciskiem myszy, aby utworzyć nową wartość REG_SZ o nazwie SeDebugPrivilege, dostosowując jej wartość do Administrators. Pamiętaj, aby zawsze wykonać kopię zapasową rejestru przed wprowadzeniem jakichkolwiek zmian.

Aby walczyć z zagrożeniami malware zorientowanymi na jądro, takimi jak obejścia KASLR, kluczowe jest zapobieganie instalacji sterowników oznaczonych przez zabezpieczenia systemu Windows. Chociaż mogą występować rzadkie przypadki, w których niepodpisane sterowniki są konieczne, przestrzeganie najlepszych praktyk w tym zakresie jest niezbędne. Aktualizowanie systemu operacyjnego i przyjmowanie najnowszej wersji systemu Windows jest podstawową częścią zapewniania bezpieczeństwa systemu.

Często zadawane pytania

1. Czym jest KASLR i dlaczego jest ważny dla bezpieczeństwa systemu Windows?

KASLR, czyli Kernel Address Space Layout Randomization, to funkcja bezpieczeństwa w systemie Windows, która losowo przydziela pamięć procesom jądra, co znacznie utrudnia złośliwemu oprogramowaniu przewidywanie, gdzie wstrzyknąć złośliwy kod. Ten losowy układ dodaje krytyczną warstwę obrony przed atakami na poziomie jądra.

2. Jak mogę sprawdzić obecność LOLDrivers na moim komputerze z systemem Windows?

Możesz łatwo sprawdzić LOLDrivers, używając PowerShell w trybie podwyższonym. Uruchom polecenie Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName, aby wyświetlić listę sterowników aktualnie zainstalowanych w systemie.

3. Co zrobić, jeśli w moim systemie znajdują się nieaktualne lub niebezpieczne sterowniki?

Jeśli natrafisz na przestarzałe lub potencjalnie niebezpieczne sterowniki, zaleca się ich odinstalowanie i zastąpienie bezpiecznymi, aktualnymi sterownikami zalecanymi przez Microsoft. Ponadto możesz pobrać najnowszą listę blokowanych sterowników od Microsoft, aby zidentyfikować i zapobiec instalacji znanych niebezpiecznych sterowników.

Źródło i obrazy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *