Hvis du bruger Microsoft EMET på Windows 8.x eller Windows-10 maskiner, eller den nye Windows Defender Udnytte Vagt på Windows version 10 1709, kan dit system ikke har været beskyttet korrekt af en beskyttende funktion, der hedder Address Space Layout Randomization (ASLR).
Sikkerhedsekspert Vil Dormann i CERT/CC opdaget en ASLR implementering problem på Windows 8 og Windows 10 maskiner.
Microsoft introducerede ASLR i Windows Vista til at forhindre kode-genbrug angreb af randomiserende de adresser, der eksekverbare filer, der blev lagt i på operativsystemet.
Mens applikationer, der kan gøre brug af ASLR direkte, Microsoft EMET kan bruges til at tilføje systemet eller program-særlig støtte til ASLR på Windows-maskiner.
Microsoft annoncerede planer om at gå på pension Microsoft EMET for nylig, og tilføjet udnytte beskyttelse til selskabets Windows-10 Falder Skabere opdater version af Windows-10 som en substitution.
Ifølge oplysninger på Cert.org Microsoft introducerede en ændring i håndteringen af ASLR. Dybest set, hvad Microsoft gjorde, var at tilføje et andet krav, således at systemet ASLR, der kræves system-wide ” bottom-up ASLR så godt.
Microsoft Windows 8 indført en ændring i, hvordan systemet mandatory ASLR er gennemført. Denne ændring kræver system-wide ” bottom-up ASLR til at være aktiveret for obligatorisk ASLR at modtage entropi. Værktøjer, der giver systemet ASLR uden også indstilling af bottom-up ASLR vil ikke korrekt randomisere eksekverbare filer, der ikke vælger at ASLR.
Effekten er problematisk ud fra et sikkerhedsmæssigt synspunkt, som den adresse, der er af ansøgninger bliver forudsigelig, selvom systemet ASLR er aktiveret via EMET eller Udnytte Vagt i Windows 10 Version 1709.
Heldigvis er der en løsning på problemet. Alt der skal gøres er, at gøre det muligt ASLR og bottom-up ASLR på målet maskinen for at løse problemet.
Læs også: Microsoft frigiver endnu en forkludret driver (WPD)
Bemærk: Det anbefales, at du sikkerhedskopierer Registreringsdatabasen, før du redigerer den. Bemærk også, at import af værdien vil overskrive systemet afhjælpninger, der er specificeret af værdien i Registreringsdatabasen.
Dette gøres ved at importere følgende værdi i Registreringsdatabasen:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Managerkernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Du kan gøre dette på den manuelle måde, men det er hurtigere, hvis du opretter en fil i Registreringsdatabasen, og importere det i stedet. Vi har skabt fil i Registreringsdatabasen for dig, således at du kun nødt til at dobbelt-klikke på den for at importere data.
Hent det ved at klikke på følgende link: aslr.zip
Bare pak den downloadede arkiv, og dobbelt-klik på Registry fil for at importere data i Registreringsdatabasen. Du kan åbne filen i enhver almindelig tekst editor første til at vurdere, hvad det betyder, før du gør det. (via Født Byen)