Comportamentul ASLR în Windows 10 este o caracteristică: Microsoft

Am recent raportate despre un defect ASLR care a fost descoperit de un cercetător în securitate pe nume Will Dormann de la Universitatea Carnegie Mellon.

El a spus :

Atât EMET, cât și Windows Defender Exploit Guard activează ASLR la nivelul întregului sistem fără a activa și ASLR de jos în sus la nivelul întregului sistem. Deși Windows Defender Exploit Guard are o opțiune la nivel de sistem pentru ASLR de jos în sus la nivel de sistem, valoarea implicită a GUI „Activat în mod implicit” nu reflectă valoarea de registru subiacentă (dezactivată). Acest lucru face ca programele fără /DYNAMICBASE să fie relocate, dar fără nicio entropie. Rezultatul este că astfel de programe vor fi relocate, dar la aceeași adresă de fiecare dată la reporniri și chiar în sisteme diferite.

Dar într-un răspuns la afirmațiile lui Dormann, Matt Miller de la Microsoft spune acest lucru într-o postare de blog numită Clarificarea comportamentului ASLR obligatoriu :

Pe scurt, ASLR funcționează conform intenției, iar problema de configurare descrisă de CERT/CC afectează doar aplicațiile în care EXE nu se înscrie deja la ASLR. Problema de configurare nu este o vulnerabilitate, nu creează riscuri suplimentare și nu slăbește postura de securitate existentă a aplicațiilor.

CERT/CC a identificat o problemă cu interfața de configurare a Windows Defender Exploit Guard (WDEG) care împiedică în prezent activarea la nivelul întregului sistem a randomizării de jos în sus. Echipa WDEG investighează în mod activ acest lucru și va aborda problema în consecință.

ASLR sau Address Space Layout Randomization este folosit pentru a randomiza adresele de memorie utilizate de fișierele exe și fișierele DLL, astfel încât un atacator să nu poată profita de un depășire a memoriei.

Pentru a verifica ASLR care funcționează pe mașina dvs., rulați acest lucru (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) instrument utilitar de la Microsoft.