20180510

SEHOP は、例外ハンドラーの改ざん防止メカニズムを提供する実行時の軽減機能

【外部リンク】
https://blogs.msdn.microsoft.com/ie_ja/2012/03/16/ie10-2/
IE10 におけるメモリ保護機能の強化
攻撃者が被害者のコンピューターにコードを侵入させる手法としては、ソーシャル エンジニアリング型のマルウェアが現在の主流になっています。これは主に、ここ数年の間にブラウザーの脆弱性が少なくなり、悪用するのが難しくなったためです。ところが、多くのユーザーが IE9 にアップグレードし、SmartScreen フィルター (英語) による保護機能を利用するようになるに従って、攻撃者の興味はブラウザーとそのアドオンを直接攻撃することに移ってきています。

/GS フラグは、Visual Studio .NET 2002 で初めて導入され、サポートされているすべてのバージョンの IE で使用されてきました。これは、アプリケーションのスタックにバッファー オーバーランの検出機能を追加するコンパイラ テクノロジです。

リンカー オプションである /SAFESEH フラグは、アプリケーションが登録した例外ハンドラーを参照テーブルに格納し、保護されたメモリ位置に保持するメカニズムを提供します。

/DYNAMICBASE フラグは、Address Space Layout Randomization (ASLR) と呼ばれるオペレーティング システムのリスク軽減機能にアプリケーションを組み込むリンカー オプションです。ASLR については、この記事で後ほど詳しく取り上げます。

DEP/NX は、最近の CPU に搭載されている重要なセキュリティ機能 (データ実行防止あるいは No eXecute) を利用した、オペレーティング システムによる軽減機能です。この軽減機能を利用すると、メモリ ページを実行不可能 (データ) としてマークできるようになります。そのようにマークされたメモリ ページ上のコードは、プロセッサによって拒否されます。

メモリ悪用の第 2 段階に達した攻撃者は、メモリ内のデータ ページに追加した独自のコードを実行しようと試みます。しかし、データ ページが実行不可能としてマークされていれば、攻撃者のコードの実行は失敗するため、プロセスを安全に終了できます。

DEP/NX のサポートは、IE8 で初めて既定で有効になり、IE10 でも引き続き有効になっています。

SEHOP は、例外ハンドラーの改ざん防止メカニズムを提供する実行時の軽減機能で、/SAFESEH コンパイラ フラグとよく似ています。この保護機能では、スレッドの例外ハンドラー リストの末尾にシンボリック例外レコードが挿入されます。例外の発生時には、例外ハンドラー リストの要素が順番に参照され、シンボリック レコードに到達できるかどうかがチェックされます。到達できない場合は例外ハンドラー チェーンが破損していると考えられるため、プロセスは安全に終了されます。SafeSEH とは異なり、SEHOP では、個々のモジュールによる対応は必要ありません。したがって、十分なセキュリティ フラグを使わずにコンパイルされたアドオンにも保護機能が提供されます。

SEHOP は IE9 で初めて有効になり (英語)、IE10 でも引き続き有効になっています。

Address Space Layout Randomization (ASLR)
High Entropy Address Space Layout Randomization (HEASLR) では、さらに広い 64 ビット アドレス空間が利用され、より多くのビットがエントロピに割り当てられます。その結果、64 ビット プロセスに割り当てることのできるアドレスの数が大幅に増加します。すべての 64 ビット プロセスは、HEASLR によって利用可能になる高いエントロピに対応するように設定することができます。この機能は、リンク時に指定する (/HIGHENTROPYVA) ことも、Image File Execution Option を使用して実行時に有効にすることもできます。

既定では、64 ビット コンピューター上の Metro スタイル ブラウザーは 64 ビット モードで動作し、より広いアドレス空間を利用できるため、メモリ配置のランダム性も高まります。

ForceASLR は、
windows defender exploit guard windows defender exploit guard 設定 コントロールされたフォルダアクセス windows defender クラウドベースの保護 無効 windows defender antivirus windows defender exploit protection windows defender 機能 windows defender ウイルス対策 windows defender ヒューリスティック ウィンドウズ ディフェンダー と は
--

注目の投稿

Shadowserver Foundation http://65.49.1.117/

Shadowserver Foundation port 14491 discarded for LINK-FRMWRK: NO ENTRY IN LOOKUP TABLE TO COMPLETE OPERATION, GigaEthernet2.0 Wistron Neweb ...

人気の投稿