Windows Vista bragte en interessant sikkerhedsfunktion kaldet ASLR - Adressepladslayout Randomization. Denne bruger en tilfældig hukommelsesadresse til at udføre kode, men i Windows 8, Windows 8.1 og Windows 10 ser det ud til, at denne funktion ikke altid implementeres korrekt.

Ifølge en sikkerhedsanalytiker bruger ASLR ikke i disse tre sidste versioner af Windows tilfældige hukommelsesadresser. Med andre ord, det er nytteløst.

Sådan implementeres ASLR manuelt

Ved at udføre kode på et tilfældigt sted hjælper ASLR med at beskytte mod udnyttelser, som du prøver at drage fordel af kode, der udføres i forudsigelige eller kendte hukommelsesadresser.

Problemet vises, når EMET eller Windows Defender Exploit Guard bruges til at aktivere obligatorisk ASLR på hele systemet.

Sikkerhedseksperten, der studerede problemet, er Will Dormann, og han forklarer alt, hvad du har brug for at vide om det problem, der kommer på grund af en poster i registreringsdatabasen.

Ifølge Dormann aktiverer både Windows Defender Exploit Guard og EMET systemdækkende ASLR uden også at aktivere systembred bottom-up ASLR.

Selv hvis Windows Defender Exploit Guard har en systemdækkende mulighed for systemdækkende bottom-up-ASLR, afspejler standard GUI-værdien for "Til som standard" ikke den underliggende registerværdi.

Dette vil føre til, at programmer uden / DYNAMICBASE skal flyttes uden entropi. Programmerne overføres til den samme adresse hver gang på tværs af genstarter og på tværs af forskellige systemer.

Løsningen er, at du skal oprette en.reg-fil med følgende tekst:

Windows Registry Editor version 5.00

”MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Derefter skal du importere denne fil til Registreringseditoren, og alt skal sorteres.

Nogle brugere hævder, at problemet stammer fra EMET og dets udskiftning, som er et værktøj til sysadmins, der "har for meget tid på deres hænder", og som blev afbrudt uden en erstatning. De tror ikke, at problemet er med det underliggende ASLR-system.