Windows 8 og 10 har en ASLR-fejl, her er hvordan du kan rette det
2 min. Læs
Udgivet den
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
En ny sikkerhedsfejl er blevet opdaget på Windows 8 og nyere, som gør ASLR ubrugelig. Fejlen blev opdaget af en sikkerhedsforsker ved navn Will Dormann. Han forklarede problemet i et detaljeret indlæg på CERT:
Både EMET og Windows Defender Exploit Guard aktiverer systemdækkende ASLR uden også at aktivere systemdækkende bottom-up ASLR. Selvom Windows Defender Exploit guard har en systemdækkende mulighed for systemdækkende bottom-up-ASLR, afspejler standard GUI-værdien "On som standard" ikke den underliggende registreringsværdi (ikke indstillet). Dette får programmer uden /DYNAMICBASE til at blive flyttet, men uden nogen entropi. Resultatet af dette er, at sådanne programmer vil blive flyttet, men til den samme adresse hver gang på tværs af genstarter og endda på tværs af forskellige systemer.
For dem, der ikke ved det, implementerede Microsoft først ASLR (Address Space Layout Randomization) i Windows Vista, der hjælper med at forhindre kodegenbrugsangreb. ASLR bruger en tilfældig hukommelsesadresse til at udføre kode, men i Windows 8, Windows 8.1 og Windows 10 anvendes funktionen ikke altid korrekt. I Windows 8, 8.1 og Windows 10 bruger ASLR ikke tilfældige hukommelsesadresser, hvilket i det væsentlige gør det ubrugeligt.
Faktisk, med Windows 7 og EMET System-wide ASLR, er den indlæste adresse for eqnedt32.exe anderledes ved hver genstart. Men med Windows 10 med enten EMET eller WDEG er basen for eqnedt32.exe 0x10000 HVER GANG.
Konklusion: Win10 kan ikke håndhæves ASLR såvel som Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) November 15, 2017
Det gode er dog, at Will delte en manuel registreringsredigering for at løse problemet. Til dette skal du gøre følgende.
- Opret en tekstfil med følgende:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Gem filen med registreringsdatabasen (.reg)
- Åbn registreringseditoren ved at skrive "regedit" i startmenuen
- Vælg Filer>Importer, og vælg den .reg-fil, du lige har oprettet.
Dette burde kunne løse problemet, indtil Microsoft sender en opdatering for at løse det fuldstændigt.
via: Bit-tech