Perilaku ASLR di Windows 10 adalah fitur: Microsoft

Kami baru-baru melaporkan tentang cacat ASLR yang ditemukan oleh peneliti keamanan bernama Will Dormann dari Carnegie Mellon University.

Dia berkata :

Baik EMET maupun Windows Defender Exploit Guard mengaktifkan ASLR di seluruh sistem tanpa juga mengaktifkan ASLR bottom-up di seluruh sistem. Meskipun Windows Defender Exploit guard memang memiliki opsi sistem-lebar untuk seluruh sistem bottom-up-ASLR, nilai GUI default "Aktif secara default" tidak mencerminkan nilai registri yang mendasarinya (tidak disetel). Ini menyebabkan program tanpa /DYNAMICBASE dipindahkan, tetapi tanpa entropi apa pun. Hasil dari ini adalah bahwa program tersebut akan dipindahkan tetapi ke alamat yang sama setiap kali di reboot dan bahkan di sistem yang berbeda.

Tetapi sebagai jawaban atas klaim Dormann, Matt Miller dari Microsoft mengatakan ini dalam sebuah posting blog bernama Mengklarifikasi perilaku ASLR wajib :

Singkatnya, ASLR berfungsi sebagaimana dimaksud dan masalah konfigurasi yang dijelaskan oleh CERT/CC hanya memengaruhi aplikasi di mana EXE belum ikut serta ke ASLR. Masalah konfigurasi bukanlah kerentanan, tidak menimbulkan risiko tambahan, dan tidak melemahkan postur keamanan aplikasi yang ada.

CERT/CC memang mengidentifikasi masalah dengan antarmuka konfigurasi Windows Defender Exploit Guard (WDEG) yang saat ini mencegah pengaktifan pengacakan bottom-up di seluruh sistem. Tim WDEG secara aktif menyelidiki hal ini dan akan menangani masalah tersebut sesuai dengan itu.

ASLR atau Address Space Layout Randomization digunakan untuk mengacak alamat memori yang digunakan oleh file exe dan file DLL sehingga penyerang tidak dapat memanfaatkan kelebihan memori.

Untuk memverifikasi ASLR bekerja pada mesin Anda, jalankan ini (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) alat utilitas oleh Microsoft.