Windows Vista kom med en intressant säkerhetsfunktion som heter ASLR - Adressutrymme Layout Randomization. Den här använder en slumpminneadress för att köra kod, men i Windows 8, Windows 8.1 och Windows 10 verkar det som att den här funktionen inte alltid implementeras korrekt.

Enligt en säkerhetsanalytiker använder ASLR inte i dessa tre senaste versioner av Windows slumpmässiga adresser. Med andra ord, det är värdelöst.

Hur man implementerar ASLR manuellt

Genom att köra kod på en slumpmässig plats hjälper ASLR att skydda mot exploater som du försöker dra nytta av kod som körs i förutsägbara eller kända minnesadresser.

Problemet dyker upp när EMET eller Windows Defender Exploit Guard används för att aktivera obligatorisk ASLR på systemövergripande basis.

Säkerhetseksperten som studerade problemet är Will Dormann och han förklarar allt du behöver veta om problemet som kommer på grund av ett registerpost.

Enligt Dormann möjliggör både Windows Defender Exploit Guard och EMET systemomfattande ASLR utan att också möjliggöra systembrett bottom-up ASLR.

Även om Windows Defender Exploit Guard har ett systemövergripande alternativ för systemomfattande bottom-up-ASLR, återspeglar inte standardgränssnittet för "På som standard" det underliggande registervärdet.

Detta kommer att leda till att program utan / DYNAMICBASE för att flyttas utan entropi. Programmen kommer att överföras till samma adress varje gång över omstarter och över olika system.

Lösningen är att du måste skapa en.reg-fil med följande text:

Windows Registry Editor version 5.00

”MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Sedan måste du importera den här filen till registerredigeraren och allt ska sorteras ut.

Vissa användare hävdar att problemet härrör från EMET och dess utbyte, vilket är ett verktyg för sysadmins som "har för mycket tid på händerna" och som avbröts utan ersättning. De tror inte att problemet är med det underliggande ASLR-systemet.