[English readers: you can find English links in this post for your convenience]

Nell’approssimarsi dell’ultimo rilascio di sicurezza ordinario dell’anno (previsto per stasera), vi raccomando la lettura di questo post del Microsoft Security Research and Defense blog che illustra in modo trasparente lo stato dell’efficacia delle funzionalità DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization) alla luce dei metodi attualmente disponibili che tentano di bypassarle :

Security Research & Defense > On the effectiveness of DEP and ASLR

Il post andrebbe letto tutto, ma per i non addetti ai lavori (me compreso, dal momento che non ho purtroppo competenze di sviluppo in ambito Windows Core Sad smile) questi sono i punti salienti da ricordare:

  • Le funzionalità DEP e ASLR, in quanto tecnologie di mitigazione dei rischi di attacco, sono state pensate per rendere difficile la vita agli attacker, in modo da rendere sconveniente impegnare molto tempo per sviluppare un exploit ben funzionante
  • Anche se sono state individuate tecniche per bypassare singolarmente queste funzionalità, la combinazione delle due, DEP+ASLR, rappresenta un modo molto efficace per bloccare gli attacchi attualmente in circolazione e in particolare:
  • esistono exploit che sono efficaci nel contesto dei browser e di applicazioni di terze parti,
  • mentre non esistono al momento exploit che riescano a bypassare DEP+ASLR nel contesto dei servizi di Windows e di altri ambiti applicativi

Non mancate di leggere poi l’ultimo paragrafo che illustra come si prenda spunto da questi insegnamenti per migliorare le varie tecniche di mitigazione del rischio, come il supporto alla funzionalità di Mandatory ASLR incluso nel tool EMET, e le mitigazioni contro il JIT spraying incluse nel compilatore JavaScript JIT di IE9.

Feliciano

Other related posts/resources: