ASLR-beteende i Windows 10 är en funktion: Microsoft

vi nyligen rapporterade om ett ASLR-fel som upptäcktes av en säkerhetsforskare vid namn Will Dormann från Carnegie Mellon University.

Han sa :

Både EMET och Windows Defender Exploit Guard möjliggör systemomfattande ASLR utan att även aktivera systemomfattande bottom-up ASLR. Även om Windows Defender Exploit guard har ett systemomfattande alternativ för systemomfattande bottom-up-ASLR, återspeglar inte standard GUI-värdet "På som standard" det underliggande registervärdet (ej inställt). Detta gör att program utan /DYNAMICBASE flyttas, men utan någon entropi. Resultatet av detta är att sådana program kommer att flyttas men till samma adress varje gång över omstarter och till och med över olika system.

Men i ett svar på Dormanns påståenden säger Microsofts Matt Miller detta i ett blogginlägg med namnet Förtydligande av beteendet hos obligatorisk ASLR :

Kort sagt, ASLR fungerar som avsett och konfigurationsproblemet som beskrivs av CERT/CC påverkar bara applikationer där EXE inte redan väljer ASLR. Konfigurationsproblemet är inte en sårbarhet, skapar ingen ytterligare risk och försvagar inte den befintliga säkerhetsställningen för applikationer.

CERT/CC identifierade ett problem med konfigurationsgränssnittet för Windows Defender Exploit Guard (WDEG) som för närvarande förhindrar systemomfattande aktivering av slumpmässig slumpmässig nedifrån och upp. WDEG-teamet undersöker detta aktivt och kommer att ta itu med problemet i enlighet med detta.

ASLR eller Address Space Layout Randomization används för att randomisera minnesadresserna som används av exe-filer och DLL-filer så att en angripare inte kan dra fördel av ett minnesspill.

För att verifiera att ASLR fungerar på din maskin, kör detta (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) verktyg från Microsoft.