ASLR ponašanje u sustavu Windows 10 je značajka: Microsoft

Nedavno smo izvijestio o ASLR nedostatku koji je otkrio sigurnosni istraživač Will Dormann sa Sveučilišta Carnegie Mellon.

On je rekao :

I EMET i Windows Defender Exploit Guard omogućuju ASLR za cijeli sustav, a da također ne omogućavaju ASLR odozdo prema gore za cijeli sustav. Iako Windows Defender Exploit guard ima opciju za cijeli sustav za ASLR odozdo prema gore u cijelom sustavu, zadana GUI vrijednost "Uključeno prema zadanim postavkama" ne odražava temeljnu vrijednost registra (poništeno). To uzrokuje premještanje programa bez /DYNAMICBASE, ali bez ikakve entropije. Rezultat toga je da će se takvi programi premještati, ali na istu adresu svaki put tijekom ponovnog podizanja sustava, pa čak i na različitim sustavima.

Ali u odgovoru na Dormannove tvrdnje, Matt Miller iz Microsofta kaže to u postu na blogu pod nazivom Pojašnjavanje ponašanja obveznog ASLR-a :

Ukratko, ASLR radi kako je predviđeno i problem s konfiguracijom koji opisuje CERT/CC utječe samo na aplikacije u kojima se EXE već ne uključuje na ASLR. Problem konfiguracije nije ranjivost, ne stvara dodatni rizik i ne slabi postojeći sigurnosni položaj aplikacija.

CERT/CC je identificirao problem s konfiguracijskim sučeljem Windows Defender Exploit Guard (WDEG) koji trenutno sprječava omogućavanje nasumičnog odabira odozdo prema gore na cijelom sustavu. Tim WDEG-a to aktivno istražuje i u skladu s tim će se pozabaviti tim problemom.

ASLR ili Address Space Layout Randomization se koristi za nasumično raspoređivanje memorijskih adresa koje koriste exe datoteke i DLL datoteke tako da napadač ne može iskoristiti prednost prelijevanja memorije.

Da biste provjerili da ASLR radi na vašem stroju, pokrenite ovo (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) uslužni alat tvrtke Microsoft.