Hành vi ASLR trong Windows 10 là một tính năng: Microsoft

chúng tôi gần đây báo cáo về một lỗ hổng ASLR được phát hiện bởi một nhà nghiên cứu bảo mật tên là Will Dormann của Đại học Carnegie Mellon.

Anh ấy nói:

Cả EMET và Windows Defender Exploit Guard đều bật ASLR trên toàn hệ thống mà không bật ASLR từ dưới lên trên toàn hệ thống. Mặc dù tính năng bảo vệ Khai thác của Bộ bảo vệ Windows có tùy chọn toàn hệ thống cho ASLR từ dưới lên trên toàn hệ thống, giá trị GUI mặc định của “Bật theo mặc định” không phản ánh giá trị đăng ký cơ bản (chưa được đặt). Điều này làm cho các chương trình không có / DYNAMICBASE được chuyển vị trí, nhưng không có bất kỳ entropy nào. Kết quả của việc này là các chương trình như vậy sẽ được di dời nhưng đến cùng một địa chỉ mọi lúc khi khởi động lại và thậm chí trên các hệ thống khác nhau.

Nhưng trong một câu trả lời cho tuyên bố của Dormann, Matt Miller của Microsoft nói điều này trong một bài đăng trên blog có tên Làm rõ hành vi của ASLR bắt buộc :

Tóm lại, ASLR đang hoạt động như dự kiến ​​và vấn đề cấu hình được mô tả bởi CERT / CC chỉ ảnh hưởng đến các ứng dụng mà EXE chưa chọn tham gia ASLR. Vấn đề cấu hình không phải là một lỗ hổng, không tạo thêm rủi ro và không làm suy yếu vị thế bảo mật hiện có của các ứng dụng.

CERT / CC đã xác định được sự cố với giao diện cấu hình của Windows Defender Exploit Guard (WDEG) hiện đang ngăn chặn việc kích hoạt ngẫu nhiên từ dưới lên trên toàn hệ thống. Nhóm WDEG đang tích cực điều tra vấn đề này và sẽ giải quyết vấn đề tương ứng.

ASLR hoặc Address Space Layout Randomization được sử dụng để ngẫu nhiên hóa các địa chỉ bộ nhớ được sử dụng bởi các tệp exe và tệp DLL để kẻ tấn công không thể lợi dụng sự cố tràn bộ nhớ.

Để xác minh ASLR hoạt động trên máy của bạn, hãy chạy điều này (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) công cụ tiện ích của Microsoft.