Windows Vista przyniósł interesującą funkcję bezpieczeństwa o nazwie ASLR - Randomization Layout Space Randomization. Używa losowego adresu pamięci do wykonania kodu, ale w Windows 8, Windows 8.1 i Windows 10 wydaje się, że ta funkcja nie zawsze działa poprawnie.

Według analityka bezpieczeństwa w tych trzech ostatnich wersjach systemu Windows ASLR nie używa losowych adresów pamięci. Innymi słowy, jest bezużyteczny.

Jak wdrożyć ASLR ręcznie

Wykonując kod w losowej lokalizacji, ASLR pomaga chronić przed exploitami, które próbujesz wykorzystać w przypadku kodu wykonywanego w przewidywalnych lub znanych adresach pamięci.

Problem pojawia się, gdy EMET lub Windows Defender Exploit Guard jest używany do włączania obowiązkowego ASLR na poziomie całego systemu.

Ekspert ds. Bezpieczeństwa, który badał ten problem, to Will Dormann, który wyjaśnia wszystko, co musisz wiedzieć o problemie, który pojawia się z powodu wpisu do rejestru.

Według Dormanna, zarówno Windows Defender Exploit Guard, jak i EMET umożliwiają systemowy ASLR bez włączania ogólnosystemowego oddolnego ASLR.

Nawet jeśli program Windows Defender Exploit Guard ma ogólnosystemową opcję ASLR dla całego systemu, domyślna wartość GUI „domyślnie włączona” nie odzwierciedla podstawowej wartości rejestru.

Doprowadzi to do tego, że programy bez / DYNAMICBASE zostaną przeniesione bez entropii. Programy będą przesyłane pod ten sam adres za każdym razem podczas restartów i różnych systemów.

Rozwiązaniem jest utworzenie pliku.reg z następującym tekstem:

Edytor rejestru systemu Windows w wersji 5.00

„MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Następnie musisz zaimportować ten plik do Edytora rejestru i wszystko powinno zostać uporządkowane.

Niektórzy użytkownicy twierdzą, że problem wynika z EMET i jego wymiany, która jest narzędziem dla sysadminów, którzy „mają zbyt dużo czasu na rękach” i że przerwano go bez wymiany. Nie sądzą, że problem dotyczy podstawowego systemu ASLR.