Das ASLR-Verhalten in Windows 10 ist ein Feature: Microsoft

Wir haben vor kurzem berichtet über einen ASLR-Fehler, der von einem Sicherheitsforscher namens Will Dormann von der Carnegie Mellon University entdeckt wurde.

Er sagte :

Sowohl EMET als auch Windows Defender Exploit Guard aktivieren systemweites ASLR, ohne auch systemweites Bottom-up-ASLR zu aktivieren. Obwohl Windows Defender Exploit Guard über eine systemweite Option für systemweites Bottom-up-ASLR verfügt, spiegelt der standardmäßige GUI-Wert „Standardmäßig aktiviert“ nicht den zugrunde liegenden Registrierungswert wider (nicht festgelegt). Dadurch werden Programme ohne /DYNAMICBASE verschoben, aber ohne Entropie. Das Ergebnis davon ist, dass solche Programme verschoben werden, aber jedes Mal über Neustarts und sogar über verschiedene Systeme hinweg an die gleiche Adresse.

Aber in einer Antwort auf Dormanns Behauptungen sagt Matt Miller von Microsoft dies in einem Blogbeitrag mit dem Namen Klärung des Verhaltens obligatorischer ASLR :

Kurz gesagt, ASLR funktioniert wie vorgesehen, und das von CERT/CC beschriebene Konfigurationsproblem betrifft nur Anwendungen, bei denen die EXE-Datei noch nicht für ASLR angemeldet ist. Das Konfigurationsproblem ist keine Schwachstelle, schafft kein zusätzliches Risiko und schwächt nicht die bestehende Sicherheitslage von Anwendungen.

CERT/CC hat ein Problem mit der Konfigurationsschnittstelle von Windows Defender Exploit Guard (WDEG) identifiziert, das derzeit die systemweite Aktivierung der Bottom-up-Randomisierung verhindert. Das WDEG-Team untersucht dies aktiv und wird das Problem entsprechend angehen.

ASLR oder Address Space Layout Randomization wird verwendet, um die von Exe-Dateien und DLL-Dateien verwendeten Speicheradressen zu randomisieren, sodass ein Angreifer keinen Vorteil aus einem Speicherüberlauf ziehen kann.

Führen Sie dies aus, um zu überprüfen, ob die ASLR auf Ihrem Computer funktioniert (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) Hilfsprogramm von Microsoft.