Windows 8 und 10 weisen einen ASLR-Fehler auf. Hier erfahren Sie, wie Sie ihn beheben können
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Unter Windows 8 und höher wurde ein neuer Sicherheitsfehler entdeckt, der ASLR unbrauchbar macht. Der Fehler wurde von einem Sicherheitsforscher namens Will Dormann entdeckt. Er erklärte das Problem in einem ausführlichen Beitrag auf CERT:
Sowohl EMET als auch Windows Defender Exploit Guard aktivieren systemweites ASLR, ohne auch systemweites Bottom-up-ASLR zu aktivieren. Obwohl Windows Defender Exploit Guard über eine systemweite Option für systemweites Bottom-up-ASLR verfügt, spiegelt der standardmäßige GUI-Wert „Standardmäßig aktiviert“ nicht den zugrunde liegenden Registrierungswert wider (nicht festgelegt). Dadurch werden Programme ohne /DYNAMICBASE verschoben, aber ohne Entropie. Das Ergebnis davon ist, dass solche Programme verschoben werden, aber jedes Mal über Neustarts und sogar über verschiedene Systeme hinweg an die gleiche Adresse.
Für diejenigen, die es nicht wissen, hat Microsoft erstmals ASLR (Address Space Layout Randomization) in Windows Vista implementiert, das dabei hilft, Code-Wiederverwendungsangriffe zu verhindern. ASLR verwendet eine zufällige Speicheradresse, um Code auszuführen, aber in Windows 8, Windows 8.1 und Windows 10 wird die Funktion nicht immer richtig angewendet. In Windows 8, 8.1 und Windows 10 verwendet ASLR keine zufälligen Speicheradressen, was es im Wesentlichen unbrauchbar macht.
Tatsächlich ist bei Windows 7 und EMET System-wide ASLR die geladene Adresse für eqnedt32.exe bei jedem Neustart anders. Aber unter Windows 10 mit EMET oder WDEG ist die Basis für eqnedt32.exe JEDES MAL 0x10000.
Fazit: Win10 kann ASLR nicht so gut erzwingen wie Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) 15. November 2017
Das Gute ist jedoch, dass Will eine manuelle Registrierungsbearbeitung freigegeben hat, um das Problem zu beheben. Dazu müssen Sie Folgendes tun.
- Erstellen Sie eine Textdatei mit dem folgenden: Windows-Registrierungseditor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
„MitigationOptions“=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Speichern Sie die Datei mit der Registrierungserweiterung (.reg)
- Öffnen Sie den Registrierungseditor, indem Sie im Startmenü „regedit“ eingeben
- Wählen Sie Datei > Importieren und wählen Sie die gerade erstellte .reg-Datei aus.
Dies sollte das Problem beheben können, bis Microsoft ein Update sendet, um es vollständig zu beheben.
Via: Bit-Tech
