Als u Microsoft EMET op Windows 8.x of Windows 10 machines, of de nieuwe Windows Defender Exploiteren Wacht op Windows-10 versie 1709, uw systeem mogelijk niet goed beschermd door een beschermende functie met de naam Address Space Layout Randomization (ASLR).
Security-onderzoeker will Dormann van het CERT/CC ontdekt een ASLR implementatie probleem op Windows 8 en Windows 10 machines.
Microsoft introduceerde ASLR in Windows Vista om te voorkomen dat code-hergebruik van aanvallen door de randomisatie van de adressen die uitvoerbare bestanden zijn geladen in op het besturingssysteem.
Terwijl applicaties kunnen gebruik maken van de ASLR-direct, Microsoft EMET kan worden gebruikt voor het toevoegen van het hele systeem of applicatie-specifieke ondersteuning voor ASLR op Windows-machines.
Microsoft heeft plannen aangekondigd om met pensioen Microsoft EMET recent toegevoegd exploiteren bescherming van de vennootschap Windows-10 Vallen Makers update versie van Windows 10 als een vervanging.
Volgens de toelichting op Cert.org Microsoft introduceerde een verandering in de behandeling van ASLR. In principe, wat Microsoft deed, was het toevoegen van een andere eis dus dat systeem-brede ASLR-eisen van het systeem-brede bottom-up ASLR.
Microsoft Windows 8 introduceert een verandering in de manier waarop het systeem-brede verplichte ASLR is geïmplementeerd. Deze verandering vereist een systeem-breed, bottom-up ASLR te worden ingeschakeld voor de verplichte ASLR te ontvangen entropie. Hulpmiddelen die het mogelijk systeem-brede ASLR zonder ook bottom-up ASLR niet goed randomize uitvoerbare bestanden die niet aan te melden voor ASLR.
Het effect is problematisch vanuit een security oogpunt als het adres van toepassingen wordt voorspelbaar, zelfs als systeem-brede ASLR is ingeschakeld via EMET of Exploiteren van de Wacht in het Windows-10 Versie 1709.
Gelukkig is er een oplossing voor het probleem. Alles dat gedaan moet worden is het inschakelen van ASLR en bottom-up ASLR op de doelcomputer om het probleem te verhelpen.
Lees ook: Microsoft brengt nog een andere mislukte driver (WPD)
Opmerking: Het is aanbevolen dat u een back-up van het Register voordat u wijzigingen aanbrengt. Ook de opmerking, dat het importeren van de waarde overschrijft u alle systeem-breed oplossingen opgegeven door de registerwaarde.
Dit wordt gedaan door het importeren van de volgende registerwaarde:
Windows Register-Editor Versie 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
U kunt dit doen op een handmatige manier, maar het is sneller als u het maken van een Register bestand en importeer deze in de plaats. We hebben de Register-bestand voor u, zodat u alleen maar te dubbelklikken op het importeren van de gegevens.
Downloaden met een klik op de volgende link: aslr.zip
Gewoon uitpakken van de gedownloade archief, en dubbelklik op het registerbestand om de gegevens te importeren in het Register. U kunt het bestand openen in een gewone tekst editor eerste om te beoordelen wat het doet voor je doen. (via Geboren Stad)