Systém Windows Vista přinesl zajímavou funkci zabezpečení nazvanou ASLR - Randomizace rozložení adresového prostoru. To používá k provádění kódu náhodnou adresu paměti, ale ve Windows 8, Windows 8.1 a Windows 10 se zdá, že tato funkce není vždy implementována správně.

Podle analytika zabezpečení v těchto třech posledních verzích systému Windows ASLR nepoužívá adresy náhodných pamětí. Jinými slovy, je to zbytečné.

Jak implementovat ASLR ručně

Spuštěním kódu na náhodném místě pomáhá ASLR chránit před zneužitím, které se pokoušíte využít kódu, který je spuštěn na předvídatelných nebo známých adresách paměti.

Problém se objevuje, když je EMET nebo Windows Defender Exploit Guard používán k povolení povinného ASLR v rámci celého systému.

Bezpečnostní odborník, který problém studoval, je Will Dormann a vysvětluje vše, co potřebujete vědět o problému, který přichází kvůli položce registru.

Podle Dormanna umožňují Windows Defender Exploit Guard i EMET aktivovat ASLR pro celý systém, aniž by umožňovaly ASLR pro celý systém zdola nahoru.

I když má program Windows Defender Exploit Guard možnost celého systému pro celý systém ASLR zdola nahoru, výchozí hodnota GUI „ve výchozím nastavení“ neodráží základní hodnotu registru.

To povede ke skutečnosti, že programy bez / DYNAMICBASE se přemístí bez entropie. Programy budou přeneseny na stejnou adresu při každém restartu a v různých systémech.

Řešením je, že musíte vytvořit soubor REG s následujícím textem:

Editor registru systému Windows verze 5.00

„MitigationOptions“ = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00

Potom musíte tento soubor importovat do Editoru registru a vše by mělo být vyřešeno.

Někteří uživatelé uvádějí, že problém pramení z EMET a jeho nahrazení, což je nástroj pro sysadminy, kteří „mají příliš mnoho času na ruce“, a který byl bez náhrady přerušen. Nemyslí si, že problém je se základním systémem ASLR.