Windows 10의 ASLR 동작은 기능입니다: Microsoft

우리는 최근에 신고 Carnegie Mellon University의 Will Dormann이라는 보안 연구원이 발견한 ASLR 결함에 대해 설명합니다.

그는 말했다 :

EMET와 Windows Defender Exploit Guard는 모두 시스템 차원의 상향식 ASLR을 활성화하지 않고도 시스템 차원의 ASLR을 활성화합니다. Windows Defender Exploit Guard에는 시스템 전체 상향식 ASLR에 대한 시스템 전체 옵션이 있지만 "기본적으로 켜짐"의 기본 GUI 값은 기본 레지스트리 값(설정되지 않음)을 반영하지 않습니다. 이로 인해 /DYNAMICBASE가 없는 프로그램이 재배치되지만 엔트로피는 없습니다. 그 결과 그러한 프로그램은 재부트되지만 다른 시스템에서도 재부팅할 때마다 동일한 주소로 재배치됩니다.

그러나 Dormann의 주장에 대한 답변에서 Microsoft의 Matt Miller는 다음과 같은 블로그 게시물에서 다음과 같이 말합니다. 필수 ASLR의 동작을 명확히 하기 :

간단히 말해서 ASLR은 의도한 대로 작동하고 CERT/CC에서 설명한 구성 문제는 EXE가 ASLR에 아직 옵트인하지 않은 응용 프로그램에만 영향을 미칩니다. 구성 문제는 취약점이 아니며 추가 위험을 생성하지 않으며 애플리케이션의 기존 보안 태세를 약화시키지 않습니다.

CERT/CC는 현재 시스템 전체에서 상향식 무작위화 활성화를 방지하는 WDEG(Windows Defender Exploit Guard)의 구성 인터페이스 문제를 식별했습니다. WDEG 팀은 이에 대해 적극적으로 조사하고 있으며 이에 따라 문제를 해결할 것입니다.

ASLR 또는 주소 공간 레이아웃 무작위화는 공격자가 메모리 오버플로를 이용할 수 없도록 exe 파일 및 DLL 파일에서 사용하는 메모리 주소를 무작위화하는 데 사용됩니다.

머신에서 작동하는 ASLR을 확인하려면 다음을 실행하십시오(https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) Microsoft의 유틸리티 도구.