Windows 8 และ 10 มีข้อบกพร่อง ASLR ต่อไปนี้เป็นวิธีแก้ไข

พบจุดบกพร่องด้านความปลอดภัยใหม่ใน Windows 8 ขึ้นไป ซึ่งทำให้ ASLR ไร้ประโยชน์ ข้อผิดพลาดนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Will Dormann เขาอธิบายปัญหาในโพสต์โดยละเอียดเกี่ยวกับ CERT:

ทั้ง EMET และ Windows Defender Exploit Guard เปิดใช้งาน ASLR ทั่วทั้งระบบโดยไม่ต้องเปิดใช้งาน ASLR จากล่างขึ้นบนทั้งระบบ แม้ว่า Windows Defender Exploit Guard จะมีตัวเลือกทั้งระบบสำหรับ ASLR จากล่างขึ้นบนทั้งระบบ แต่ค่า GUI เริ่มต้นของ "เปิดโดยค่าเริ่มต้น" จะไม่สะท้อนถึงค่ารีจิสทรีพื้นฐาน (ไม่ได้ตั้งค่า) สิ่งนี้ทำให้โปรแกรมที่ไม่มี /DYNAMICBASE ถูกย้าย แต่ไม่มีเอนโทรปี ผลที่ได้คือโปรแกรมดังกล่าวจะถูกย้าย แต่ไปยังที่อยู่เดียวกันทุกครั้งที่รีบูตและแม้กระทั่งข้ามระบบต่างๆ

สำหรับผู้ที่ไม่ทราบ Microsoft เริ่มใช้ ASLR (Address Space Layout Randomization) ใน Windows Vista ซึ่งช่วยป้องกันการโจมตีโค้ดซ้ำ ASLR ใช้ที่อยู่หน่วยความจำแบบสุ่มเพื่อรันโค้ด แต่ใน Windows 8, Windows 8.1 และ Windows 10 คุณลักษณะนี้ไม่ได้ใช้อย่างถูกต้องเสมอไป ใน Windows 8, 8.1 และ Windows 10, ASLR ไม่ได้ใช้ที่อยู่หน่วยความจำแบบสุ่ม ซึ่งทำให้การแสดงผลนั้นไร้ประโยชน์

ที่จริงแล้ว ด้วย Windows 7 และ EMET ASLR ทั้งระบบ ที่อยู่ที่โหลดสำหรับ eqnedt32.exe จะแตกต่างกันในการรีบูตทุกครั้ง แต่ด้วย Windows 10 ที่มี EMET หรือ WDEG ฐานสำหรับ eqnedt32.exe คือ 0x10000 ทุกครั้ง
สรุป: Win10 ไม่สามารถบังคับใช้ ASLR เช่นเดียวกับ Win7! pic.twitter.com/Jp10nqk1NQ

- Will Dormann (@wdormann) November 15, 2017

สิ่งที่ดีคือจะแชร์ Registry Edit ด้วยตนเองเพื่อแก้ไขปัญหา สำหรับสิ่งนี้ คุณต้องทำสิ่งต่อไปนี้

• สร้างไฟล์ข้อความดังต่อไปนี้: Windows Registry Editor เวอร์ชัน 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
  “MitigationOptions”=ฐานสิบหก:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
• บันทึกไฟล์ด้วยนามสกุล Registry (.reg)
• เปิด Registry Editor โดยพิมพ์ “regedit” ใน Start Menu
• เลือกไฟล์>นำเข้าและเลือกไฟล์. reg ที่คุณเพิ่งสร้างขึ้น

สิ่งนี้ควรสามารถแก้ไขปัญหาได้จนกว่า Microsoft จะส่งการอัปเดตเพื่อแก้ไขปัญหาอย่างสมบูรณ์

ถนน: บิตเทค