EternalBlue开发与ASLR

Question

为什么在现代机器上启用EternalBlue时，的利用是如此成功？我可能错了，因为我不熟悉windows的内部结构。我找不到任何解释，包括这。任何链接都将不胜感激。

谢谢。

Answer 1

来自RiskSense P.19：

最初的EternalBlue漏洞的ASLR绕过利用了Heap (由硬件抽象层使用)是静态定位在0xffffffffffd00000上的弱点，直到MicrosoftWindows10Redstone 2(2017年4月)。

这样一个固定偏移量足以绕过ASLR的区域。

Answer 2

RoRaZ和40F4提出了一些很好的观点。

另一件事是，特别是在保健部门或金融部门，无论是在任何需要使用精心制作的软件的企业中，有时可能不可能更新操作系统而不造成无法轻易替换的基本和昂贵软件中的错误。特别是医院使用的是相当老的Windows版本，这使得它们非常脆弱。其次，它不仅仅是桌面系统；任何(例如医疗)设备都可以建立在像Windows这样的操作系统上，据我所知，这些设备几乎没有收到任何更新。

仅仅因为有一些修正并不意味着修复对每个人来说都是一个容易的选择。私有用户不会关心这个问题，但是私有用户很少是像EternalBlue这样的攻击的目标群体。

增添：

0 0xffffffff ffd00000是64位系统的虚拟地址，如果它是32位，那么它就是0 just 00000。

Answer 3

从风险感PDF (打开一个PDF)：

3.6.2在Microsoft 8/8.1 (Server 2012)中某个时候开始使用DEP旁路，Heap成为不可执行的。虚拟内存页表条目(PTE)包含有关内存位置的信息，如基本物理地址、CPU环模式、脏位，并从引入硬件强制的DEP开始，在偏移量63处为无eXecute (NX)位。如果设置了NX位，并且尝试将指令指针移动到页面，内核恐慌将防止攻击。

通常，ASLR的旁路依赖于查找已知地址。ASLR通常是内核/系统进程启动时的一次随机化。因此，如果您能够找到点的地址(结构、功能、DLL等)，那么您就可以将偏移量计算给您所关心的其他人。

我不是在ASLR的中小企业，但这是高层次的观点。