Поведінка ASLR у Windows 10 є особливістю: Microsoft

Ми нещодавно повідомляє про недолік ASLR, який виявив дослідник безпеки на ім’я Вілл Дорманн з Університету Карнегі-Меллона.

Він сказав :

І EMET, і Windows Defender Exploit Guard включають загальносистемну ASLR, не вмикаючи також загальносистемну ASLR знизу вгору. Хоча захист від експлойтів Windows Defender має загальносистемну опцію для загальносистемної знизу вгору ASLR, значення графічного інтерфейсу за замовчуванням «Увімкнено за замовчуванням» не відображає базове значення реєстру (не встановлено). Це призводить до переміщення програм без /DYNAMICBASE, але без будь-якої ентропії. Результатом цього є те, що такі програми будуть переміщатися, але на ту саму адресу щоразу під час перезавантаження і навіть у різні системи.

Але у відповідь на претензії Дорманна Метт Міллер з Microsoft говорить про це у блозі під назвою Уточнення поведінки обов'язкового ASLR :

Коротше кажучи, ASLR працює, як задумано, і проблема конфігурації, описана CERT/CC, впливає лише на програми, де EXE ще не підключається до ASLR. Проблема конфігурації не є вразливістю, не створює додаткового ризику та не послаблює існуючу систему безпеки програм.

CERT/CC виявив проблему з конфігураційним інтерфейсом Windows Defender Exploit Guard (WDEG), яка наразі запобігає ввімкненню рандомізації «знизу вгору» у всій системі. Команда WDEG активно досліджує це та відповідним чином вирішить цю проблему.

ASLR або рандомізація адресного простору використовується для рандомізації адрес пам’яті, які використовуються файлами exe та файлами DLL, щоб зловмисник не міг скористатися перевагами переповнення пам’яті.

Щоб переконатися, що ASLR працює на вашій машині, запустіть це (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) допоміжний інструмент від Microsoft.