Windows Vista hadde med seg en interessant sikkerhetsfunksjon kalt ASLR - Address Space Layout Randomization. Denne bruker en tilfeldig minneadresse for å utføre kode, men i Windows 8, Windows 8.1 og Windows 10 ser det ut til at denne funksjonen ikke alltid implementeres riktig.

Ifølge en sikkerhetsanalytiker bruker ikke ASLR i disse tre siste versjonene av Windows tilfeldige minneadresser. Det er med andre ord ubrukelig.

Hvordan implementere ASLR manuelt

Ved å utføre kode på et tilfeldig sted, hjelper ASLR til å beskytte mot utnyttelser som du prøver å dra nytte av kode som blir kjørt i forutsigbare eller kjente minneadresser.

Problemet vises når EMET eller Windows Defender Exploit Guard brukes til å aktivere obligatorisk ASLR på systembasert basis.

Sikkerhetseksperten som studerte problemet er Will Dormann, og han forklarer alt du trenger å vite om problemet som kommer på grunn av et registeroppføring.

I følge Dormann muliggjør både Windows Defender Exploit Guard og EMET systemomfattende ASLR uten at det også muliggjør systemvidde bottom-up ASLR.

Selv om Windows Defender Exploit Guard har et systemomfattende alternativ for systemomfattende bottom-up-ASLR, gjenspeiler ikke standard GUI-verdien til "On as default" den underliggende registerverdien.

Dette vil føre til at programmer uten / DYNAMICBASE skal flyttes uten entropi. Programmene vil bli overført til samme adresse hver gang på nytt og på tvers av forskjellige systemer.

Løsningen er at du må lage en.reg-fil med følgende tekst:

Windows Registerredigering versjon 5.00

“MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Deretter må du importere denne filen til Registerredigering, og alt skal sorteres ut.

Noen brukere oppgir at problemet stammer fra EMET og erstatning for det, som er et verktøy for sysadminer som "har for mye tid på hendene", og som ble avbrutt uten erstatning. De tror ikke at problemet er med det underliggende ASLR-systemet.