Hvis du bruker Microsoft EMET på Windows 8.x eller Windows-10 maskiner, eller den nye Windows Defender Utnytte Vakt på Windows-10 versjon 1709, kan det hende at systemet ikke har vært beskyttet riktig av en beskyttende funksjon kalt Address Space Layout Randomization (ASLR).
Sikkerhet forsker Vil Dormann av CERT/CC oppdaget en ASLR gjennomføring problemet på Windows 8 og Windows-10 maskiner.
Microsoft introduserte ASLR i Windows Vista for å hindre kode-gjenbruk angrep ved faktor som gjør det adressene som kjørbare filer ble lastet på operativsystemet.
Mens programmer kan gjøre bruk av ASLR direkte, Microsoft EMET kan brukes til å legge til system-wide-eller program-spesifikke støtte for ASLR på Windows maskiner.
Microsoft annonserte planer om å pensjonere Microsoft EMET nylig, og lagt utnytte beskyttelse til selskapets Windows-10 Falle Skaperne oppdatering av Windows-versjon 10 som en erstatning.
I henhold til offentliggjøring på Cert.org Microsoft har introdusert en endring i håndtering av ASLR. I utgangspunktet, hva Microsoft gjorde var å legge et krav slik at system-wide ASLR nødvendige system-wide nedenfra-og-opp ASLR, så vel.
Microsoft Windows 8 innført en endring i hvordan system-wide obligatorisk ASLR er implementert. Denne endringen krever system-wide nedenfra-og-opp ASLR å være aktivert for obligatorisk ASLR å motta entropi. Verktøy som gjør det mulig for system-wide ASLR uten også sette nedenfra-og-opp ASLR vil ikke klarer å riktig randomize kjørbare filer som ikke velger å ASLR.
Effekten er problematisk fra et sikkerhetsmessig synspunkt som adresse for programmer blir forutsigbar, selv om system-wide ASLR er aktivert via EMET eller Utnytte Vakt i Windows-10 Versjon 1709.
Heldigvis, det er en løsning for problemet. Alt som må gjøres er å aktivere ASLR og nedenfra-og-opp ASLR på måldatamaskinen med å løse problemet.
Les også: Rapport: Microsoft arbeider på tab støtte for Windows 10
Merk: Det anbefales at du sikkerhetskopierer Registret før du endrer det. Legg også merke til at import verdien vil overskrive alle system bredt faktorene som er angitt av registerverdien.
Dette er gjort ved å importere følgende registerverdi:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]
“Inn mitigationoptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Du kan gjøre dette på manuell måte, men det er raskere hvis du oppretter et Register-fil og importere det i stedet. Vi har opprettet Registret filen for deg, slik at du trenger bare å dobbeltklikke på den for å importere dataene.
Last det ned med et klikk på følgende link: aslr.zip
Bare pakk ut den nedlastede arkiver, og dobbelt-klikk på Register-filen for å importere data i Registeret. Du kan åpne filen i noen ren tekst editor første til å vurdere hva det gjør før du gjør det. (via Født Byen)