Systém Windows Vista priniesol zaujímavú funkciu zabezpečenia nazvanú ASLR - Randomization Layout Randomization. Na vykonanie kódu sa používa adresa náhodnej pamäte, ale v systémoch Windows 8, Windows 8.1 a Windows 10 sa zdá, že táto funkcia nie je vždy implementovaná správne.

Podľa analytika bezpečnosti v týchto troch posledných verziách systému Windows ASLR nepoužíva adresy náhodných pamätí. Inými slovami, je to zbytočné.

Ako implementovať ASLR manuálne

Vykonaním kódu na náhodnom mieste pomáha ASLR chrániť pred zneužitím, ktoré sa snažíte využiť kód, ktorý sa vykonáva na predvídateľných alebo známych adresách pamäte.

Problém sa objaví, keď sa EMET alebo Windows Defender Exploit Guard použije na povolenie povinného ASLR na úrovni celého systému.

Odborníkom v oblasti bezpečnosti, ktorý problém študoval, je Will Dormann a vysvetlí všetko, čo potrebujete vedieť o probléme, ktorý prichádza z dôvodu zápisu do registra.

Podľa Dormanna tak Windows Defender Exploit Guard, ako aj EMET umožňujú ASLR pre celý systém bez toho, aby umožňovali ASLR zdola nahor pre celý systém.

Aj keď program Windows Defender Exploit Guard má možnosť celého systému pre celý systém ASLR zdola nahor-ASLR, predvolená hodnota GUI v predvolenom nastavení nezodpovedá základnej hodnote registra.

To povedie k tomu, že programy bez / DYNAMICBASE sa premiestnia bez entropie. Programy sa prenesú na tú istú adresu pri každom reštarte a v rôznych systémoch.

Riešením je, že musíte vytvoriť súbor.reg s nasledujúcim textom:

Editor databázy Registry systému Windows, verzia 5.00

"MitigationOptions" = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Potom musíte tento súbor importovať do Editora databázy Registry a všetko by sa malo vyriešiť.

Niektorí používatelia tvrdia, že problém pramení z EMET a jeho nahradenia, ktoré je nástrojom pre správcov, ktorí „majú príliš veľa času na ruky“ a ktorý bol bez výmeny prerušený. Nemyslia si, že problém je so základným systémom ASLR.