Om du använder Microsoft EMET på Windows 8.x eller Windows-10 maskiner, eller den nya Windows Defender Utnyttja Vakt på Windows version 10 1709, kan ditt system inte har varit skyddade på rätt sätt med en skyddande funktion som kallas Address Space Layout Randomisering (ASLR).
Säkerhet forskare Kommer Dormann av CERT/CC upptäckte en ASLR genomförandet fråga på Windows 8 och Windows 10 maskiner.
Microsoft introducerade ASLR i Windows Vista för att förhindra kod-återanvändning attacker genom att randomisera de adresser som körbara filer laddades in på operativsystemet.
Även applikationer kan använda sig av ASLR direkt, Microsoft EMET kan användas för att lägga till system-wide-eller programspecifika stöd för ASLR på Windows-maskiner.
Microsoft meddelade att man planerar att gå i pension Microsoft EMET nyligen, och lagt utnyttja skydd till företagets Windows-10 Faller Skaparna uppdatera Windows-version 10 som ett byte.
Enligt den utlämnande på Cert.org Microsoft infört en förändring i hanteringen av ASLR. I grund och botten, vad Microsoft gjorde var att lägga till ytterligare krav så att systemet ASLR krävs systemet bottom-up-ASLR.
Microsoft Windows 8 infördes en förändring i hur systemet obligatoriskt ASLR genomförs. Denna förändring kräver systemet bottom-up-ASLR vara aktiverat för obligatorisk ASLR att få entropi. Verktyg som gör det möjligt för systemet ASLR utan att också ange bottom-up-ASLR kommer att misslyckas med att slumpa körbara filer som inte väljer att ASLR.
Effekten är problematiskt ur ett säkerhetsperspektiv som adress för ansökningar blir förutsägbart även om systemet ASLR är aktiverad via EMET eller Utnyttja Vakt i Windows Version 10 1709.
Som tur är finns det en lösning på problemet. Allt som behöver göras är att aktivera ASLR och bottom-up-ASLR på måldatorn för att åtgärda problemet.
Läs också: Windows 10 Skaparna Uppdatering: nya Systemet alternativet Återställ
Obs: Det rekommenderas att du säkerhetskopierar Registret innan du ändrar det. Observera också, att importera värde kommer att skriva över eventuella system brett åtgärder som anges av registervärdet.
Detta görs genom att importera följande registervärde:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkärnan]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Du kan göra detta manuellt sätt, men det går snabbare om du skapar ett Register-fil och importera den i stället. Vi har skapat den registerfil för dig, så att du bara har att dubbel-klicka på den för att importera data.
Ladda ner det genom att klicka på följande länk: aslr.zip
Bara extrahera den nedladdade arkiv, och dubbel-klicka på Register-fil för att importera data i Registret. Du kan öppna filen i valfri textredigerare första att värdera vad den gör innan du gör det. (via Född City)