Windows 8 y 10 tienen un defecto ASLR, así es como puedes solucionarlo
2 minuto. leer
Publicado el
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Se ha descubierto un nuevo error de seguridad en Windows 8 y superior que hace que ASLR sea inútil. El error fue descubierto por un investigador de seguridad llamado Will Dormann. Explicó el problema en una publicación detallada en CERT:
Tanto EMET como Windows Defender Exploit Guard habilitan ASLR en todo el sistema sin habilitar también ASLR de abajo hacia arriba en todo el sistema. Aunque Windows Defender Exploit Guard tiene una opción en todo el sistema para ASLR de abajo hacia arriba en todo el sistema, el valor de GUI predeterminado de "Activado de forma predeterminada" no refleja el valor de registro subyacente (sin establecer). Esto hace que los programas sin /DYNAMICBASE se reubiquen, pero sin entropía. El resultado de esto es que dichos programas se reubicarán, pero en la misma dirección cada vez que se reinicie e incluso en diferentes sistemas.
Para aquellos que no lo saben, Microsoft implementó por primera vez ASLR (Aleatorización del diseño del espacio de direcciones) en Windows Vista que ayuda a prevenir ataques de reutilización de código. ASLR usa una dirección de memoria aleatoria para ejecutar el código, pero en Windows 8, Windows 8.1 y Windows 10, la función no siempre se aplica correctamente. En Windows 8, 8.1 y Windows 10, ASLR no usa direcciones de memoria aleatorias, lo que esencialmente lo vuelve inútil.
En realidad, con Windows 7 y EMET System-wide ASLR, la dirección cargada para eqnedt32.exe es diferente en cada reinicio. Pero con Windows 10 con EMET o WDEG, la base para eqnedt32.exe es 0x10000 SIEMPRE.
Conclusión: ¡Win10 no puede aplicar ASLR tan bien como Win7! pic.twitter.com/Jp10nqk1NQ- Will Dormann (@wdormann) 15 de noviembre.
Sin embargo, lo bueno es que Will compartió una edición manual del registro para solucionar el problema. Para esto, debe hacer lo siguiente.
- Cree un archivo de texto con lo siguiente: Editor del Registro de Windows, versión 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"Opciones de mitigación" = hexadecimal: 00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00 - Guarde el archivo con extensión de Registro (.reg)
- Abra el Editor del Registro escribiendo "regedit" en el menú Inicio
- Seleccione Archivo>Importar y elija el archivo .reg que acaba de crear.
Esto debería poder solucionar el problema hasta que Microsoft envíe una actualización para solucionarlo por completo.
Vía: Bit-Tech