Az ASLR viselkedése a Windows 10 rendszerben egy szolgáltatás: Microsoft

Nemrég jelentett egy ASLR hibáról, amelyet Will Dormann nevű biztonsági kutató fedezett fel a Carnegie Mellon Egyetemről.

Ő mondta :

Mind az EMET, mind a Windows Defender Exploit Guard lehetővé teszi az egész rendszerre kiterjedő ASLR-t, anélkül, hogy a rendszerszintű, alulról felfelé irányuló ASLR-t is engedélyezné. Bár a Windows Defender Exploit Guard rendelkezik egy rendszerszintű opcióval az egész rendszerre kiterjedő, alulról felfelé irányuló ASLR-hez, az alapértelmezett grafikus felhasználói felület „Alapértelmezés szerint be” értéke nem tükrözi a mögöttes rendszerleíró adatbázis értékét (nem beállítva). Emiatt a /DYNAMICBASE nélküli programok áthelyeződnek, de entrópia nélkül. Ennek az az eredménye, hogy az ilyen programokat újraindításkor, sőt különböző rendszereken is áthelyezik, de ugyanarra a címre.

De Dormann állításaira válaszolva Matt Miller, a Microsoft munkatársa ezt mondja egy blogbejegyzésben A kötelező ASLR viselkedésének tisztázása :

Röviden, az ASLR rendeltetésszerűen működik, és a CERT/CC által leírt konfigurációs probléma csak azokat az alkalmazásokat érinti, ahol az EXE még nem csatlakozik az ASLR-hez. A konfigurációs probléma nem jelent sebezhetőséget, nem jelent további kockázatot, és nem gyengíti az alkalmazások meglévő biztonsági helyzetét.

A CERT/CC azonosított egy problémát a Windows Defender Exploit Guard (WDEG) konfigurációs felületével kapcsolatban, amely jelenleg megakadályozza az alulról felfelé történő véletlenszerűsítést a rendszerszinten. A WDEG csapata aktívan vizsgálja ezt, és ennek megfelelően foglalkozik a problémával.

Az ASLR vagy az Address Space Layout Randomization az exe- és DLL-fájlok által használt memóriacímek véletlenszerűsítésére szolgál, hogy a támadó ne tudja kihasználni a memóriatúlcsordulás előnyeit.

A gépen működő ASLR ellenőrzéséhez futtassa ezt (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) segédprogram a Microsofttól.