ASLR-adfærd i Windows 10 er en funktion: Microsoft

Vi for nylig rapporteret om en ASLR-fejl, der blev opdaget af en sikkerhedsforsker ved navn Will Dormann fra Carnegie Mellon University.

Han sagde :

Både EMET og Windows Defender Exploit Guard aktiverer systemdækkende ASLR uden også at aktivere systemdækkende bottom-up ASLR. Selvom Windows Defender Exploit guard har en systemdækkende mulighed for systemdækkende bottom-up-ASLR, afspejler standard GUI-værdien "On som standard" ikke den underliggende registreringsværdi (ikke indstillet). Dette får programmer uden /DYNAMICBASE til at blive flyttet, men uden nogen entropi. Resultatet af dette er, at sådanne programmer vil blive flyttet, men til den samme adresse hver gang på tværs af genstarter og endda på tværs af forskellige systemer.

Men i et svar på Dormanns påstande siger Microsofts Matt Miller dette i et blogindlæg med navnet Tydeliggørelse af adfærden for obligatorisk ASLR :

Kort sagt fungerer ASLR efter hensigten, og konfigurationsproblemet beskrevet af CERT/CC påvirker kun applikationer, hvor EXE ikke allerede tilmelder sig ASLR. Konfigurationsproblemet er ikke en sårbarhed, skaber ikke yderligere risiko og svækker ikke applikationernes eksisterende sikkerhedsposition.

CERT/CC har identificeret et problem med konfigurationsgrænsefladen for Windows Defender Exploit Guard (WDEG), der i øjeblikket forhindrer systemdækkende aktivering af bottom-up randomisering. WDEG-teamet undersøger aktivt dette og vil behandle problemet i overensstemmelse hermed.

ASLR eller Address Space Layout Randomization bruges til at randomisere de hukommelsesadresser, der bruges af exe-filer og DLL-filer, så en angriber ikke kan drage fordel af et hukommelsesoverløb.

For at bekræfte, at ASLR fungerer på din maskine, skal du køre denne (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) hjælpeværktøj fra Microsoft.