Si vous utilisez Microsoft EMET sur Windows 8.x ou Windows 10 machines, ou le nouveau Windows Defender Exploiter Garde sur Windows 10 version 1709, votre système peut ne pas avoir été correctement protégés par une fonction de protection appelé Address Space Layout Randomization (ASLR).
Le chercheur en sécurité Sera Dormann du CERT/CC découvert un ASLR problème de l’application sur Windows 8 et Windows 10 machines.
Microsoft a introduit l’ASLR dans Windows Vista pour éviter de réutiliser le code des attaques par randomisation des adresses que les fichiers exécutables ont été chargés sur le système d’exploitation.
Alors que les applications peuvent faire usage de l’ASLR directement, Microsoft EMET pourrait être utilisé pour ajouter, à l’échelle du système ou de l’application-support spécifique pour l’ASLR sur les machines Windows.
Microsoft a annoncé des plans pour la retraite Microsoft EMET récemment, et a ajouté exploiter des mesures de protection pour la société de Windows 10 à l’Automne Créateurs de mise à jour de la version de Windows 10 comme une substitution.
Conformément à la communication sur Cert.org, Microsoft a introduit un changement dans le traitement de l’ASLR. Fondamentalement, ce que Microsoft n’a était ajouter une autre condition pour que le système à l’échelle de l’ASLR nécessaire à l’échelle du système bottom-up ASLR.
Microsoft Windows 8 introduit un changement dans la façon dont l’échelle du système obligatoire de l’ASLR est mis en œuvre. Cette modification nécessite l’échelle du système bottom-up ASLR être activé pour obligatoire ASLR de recevoir de l’entropie. Des outils qui permettent à l’échelle du système ASLR sans réglage bottom-up ASLR ne pourront pas correctement aléatoire de fichiers exécutables qui ne sont pas opter pour l’ASLR.
L’effet est problématique d’un point de vue sécurité que l’adresse d’applications devient prévisible, même si à l’échelle du système ASLR est activé via EMET ou d’Exploiter la Garde dans Windows 10 Version 1709.
Heureusement, il existe une solution de contournement pour le problème. Tout ce qui doit être fait est de permettre à l’ASLR et bottom-up ASLR sur la machine cible pour résoudre le problème.
Lire aussi: Windows 10 Créateurs de mise à Jour: nouvelle option de Réinitialisation du Système
Remarque: Il vous est recommandé de sauvegarder le Registre avant de le modifier. Notez également, que l’importation de la valeur va écraser toutes les mesures d’atténuation à l’échelle du système spécifié par la valeur de Registre.
Ceci est fait par l’importation de la valeur de Registre suivante:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Vous pouvez faire cela de la manière manuelle, mais il est plus rapide si vous créez un fichier de Registre et de les importer au lieu. Nous avons créé le fichier de Registre pour vous, afin que vous n’avez qu’à double-cliquer dessus pour importer les données.
Le télécharger en cliquant sur le lien suivant: aslr.zip
Il suffit d’extraire l’archive téléchargée, et double-cliquez sur le fichier de Registre pour importer les données dans le Registre. Vous pouvez ouvrir le fichier dans l’éditeur de texte de la première à évaluer ce qu’il fait avant de le faire. (via Né de la Ville)