微软为Win10开发强制堆栈保护功能以解决内存错误等安全问题

3月26日消息   微软日前宣布Windows 10系统正在开发的新功能，该功能名为强制堆栈保护旨在加强系统和设备的整体安全性。顾名思义该功能主要通过保护堆栈来确保数据不会遭到劫持，不过该功能实际还需要依靠现代处理器的相关技术。微软表示强制堆栈保护通过使用现代处理器和影子堆栈间的结合，对内存中的堆栈数据等进行严格管理防止泄露。

影子堆栈：指的是读取原堆栈中的数据然后与加载顺序进行对比，若检测到返回地址不同则判定为系统遭到攻击。

强制堆栈保护用来解决内存错误等多种安全问题：

微软表示正在开发的强制堆栈保护可以抵御常见的内存错误攻击，例如堆栈缓冲区溢出、空指针或未初始化变量。

如果攻击者尝试利用恶意软件劫持其他软件的代码时，这些已知漏洞可以让攻击者劫持对应软件的正常运行流程。

但通过影子堆栈功能对堆栈中的数据进行读取和对比，可以检测到堆栈的实际数据与影子堆栈中的数据存在不同。

这种情况会被系统判定为检测到攻击因此会直接忽略任何异常的堆栈数据，从而有效阻止恶意软件利用漏洞攻击。

正在Windows 10 vNEXT版中开发该技术：

微软表示该功能目前尚处在早期开发和预览阶段，早期预览版本已经在 Windows 10 vNEXT 快速测试版中提供。

追求高安全性的开发者和关键领域应用程序的开发者们可以提前进行测试，即在应用程序里部署新的连接器标志。

这个标志会在PE头中设置相应的属性以请求系统内核对可执行文件提供保护 ,具体可点击这里查看微软详细文档。

微软表示如果软件在受支持的Windows 10版本和硬件上运行的话，则内核会在软件运行期间强制执行影子堆栈。

注：Windows 10 vNEXT指的是Windows 10 Build 19500及以上版本，该版可能是明年春季的v2103/21H1版。

与硬件结合显著提高安全性：

去年微软曾宣布推出名为通用型安全核心电脑的产品，这是微软与合作伙伴定制开发的具有高安全性的加密设备。

目前诸如英特尔等处理器制造商正在提供更多现代安全功能，这类安全功能通常直接集成在硬件中通过软件调用。

微软表示目前正在开发的强制堆栈保护只是软件与硬件结合的一部分，微软未来也会开发更多类似的高安全措施。

通过将操作系统及其内核与硬件的深度集成，可让攻击者发动大规模攻击变得困难又昂贵，让企业客户更加安全。