ASLR-gedrag in Windows 10 is een functie: Microsoft

we hebben onlangs gerapporteerd over een ASLR-fout die werd ontdekt door een beveiligingsonderzoeker genaamd Will Dormann van de Carnegie Mellon University.

Hij zei :

Zowel EMET als Windows Defender Exploit Guard maken systeembrede ASLR mogelijk zonder ook systeembrede bottom-up ASLR mogelijk te maken. Hoewel Windows Defender Exploit Guard een systeembrede optie heeft voor systeembrede bottom-up-ASLR, geeft de standaard GUI-waarde van "Standaard aan" niet de onderliggende registerwaarde weer (uitgeschakeld). Dit zorgt ervoor dat programma's zonder /DYNAMICBASE worden verplaatst, maar zonder enige entropie. Het resultaat hiervan is dat dergelijke programma's worden verplaatst, maar telkens naar hetzelfde adres bij het opnieuw opstarten en zelfs op verschillende systemen.

Maar in een antwoord op de beweringen van Dormann zegt Matt Miller van Microsoft dit in een blogpost genaamd Het gedrag van verplichte ASLR . verduidelijken :

Kortom, ASLR werkt zoals bedoeld en het configuratieprobleem dat wordt beschreven door CERT/CC treft alleen toepassingen waarbij de EXE zich nog niet heeft aangemeld voor ASLR. Het configuratieprobleem is geen kwetsbaarheid, creëert geen extra risico en verzwakt de bestaande beveiligingsstatus van applicaties niet.

CERT/CC identificeerde een probleem met de configuratie-interface van Windows Defender Exploit Guard (WDEG) dat momenteel systeembrede activering van bottom-up randomisatie verhindert. Het WDEG-team onderzoekt dit actief en zal het probleem dienovereenkomstig aanpakken.

ASLR of Address Space Layout Randomization wordt gebruikt om de geheugenadressen die worden gebruikt door exe-bestanden en DLL-bestanden willekeurig te verdelen, zodat een aanvaller geen voordeel kan halen uit een geheugenoverloop.

Om te controleren of de ASLR op uw computer werkt, voert u dit uit (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) hulpprogramma van Microsoft.