Le comportement ASLR dans Windows 10 est une fonctionnalité : Microsoft

Nous avons récemment rapporté sur une faille ASLR qui a été découverte par un chercheur en sécurité nommé Will Dormann de l'Université Carnegie Mellon.

Il a dit :

EMET et Windows Defender Exploit Guard activent l'ASLR à l'échelle du système sans activer également l'ASLR ascendant à l'échelle du système. Bien que Windows Defender Exploit Guard dispose d'une option à l'échelle du système pour l'ASLR ascendant à l'échelle du système, la valeur par défaut de l'interface graphique "Activé par défaut" ne reflète pas la valeur de registre sous-jacente (non définie). Cela entraîne le déplacement des programmes sans /DYNAMICBASE, mais sans aucune entropie. Le résultat est que ces programmes seront déplacés mais à la même adresse à chaque redémarrage et même sur différents systèmes.

Mais en réponse aux affirmations de Dormann, Matt Miller de Microsoft le dit dans un article de blog nommé Clarifier le comportement des ASLR obligatoires :

En bref, ASLR fonctionne comme prévu et le problème de configuration décrit par CERT/CC n'affecte que les applications où l'EXE n'a pas déjà opté pour ASLR. Le problème de configuration n'est pas une vulnérabilité, ne crée pas de risque supplémentaire et n'affaiblit pas la posture de sécurité existante des applications.

Le CERT/CC a identifié un problème avec l'interface de configuration de Windows Defender Exploit Guard (WDEG) qui empêche actuellement l'activation à l'échelle du système de la randomisation ascendante. L'équipe WDEG étudie activement cette question et traitera le problème en conséquence.

ASLR ou Address Space Layout Randomization est utilisé pour randomiser les adresses mémoire utilisées par les fichiers exe et les fichiers DLL afin qu'un attaquant ne puisse pas profiter d'un débordement de mémoire.

Pour vérifier que l'ASLR fonctionne sur votre machine, exécutez ceci (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) outil utilitaire de Microsoft.