Windows Vista ienesa interesantu drošības līdzekli ar nosaukumu ASLR - adreses telpas izkārtojuma randomizācija. Kodu izpildei tiek izmantota nejaušās atmiņas adrese, taču operētājsistēmās Windows 8, Windows 8.1 un Windows 10 šķiet, ka šī funkcija ne vienmēr tiek ieviesta pareizi.

Pēc drošības analītiķa teiktā, šajās trīs pēdējās Windows versijās ASLR neizmanto izlases atmiņas adreses. Citiem vārdiem sakot, tas ir bezjēdzīgi.

Kā manuāli ieviest ASLR

Izpildot kodu nejaušā vietā, ASLR palīdz aizsargāties pret ekspluatāciju, kuru laikā jūs mēģināt izmantot kodu, kas tiek izpildīts paredzamās vai zināmās atmiņas adresēs.

Problēma parādās, ja EMET vai Windows Defender Exploit Guard tiek izmantots, lai visā sistēmā iespējotu obligātu ASLR.

Drošības eksperts, kurš izpētīja šo jautājumu, ir Vils Dormans, un viņš izskaidro visu, kas jums jāzina par problēmu, kas rodas reģistra ieraksta dēļ.

Pēc Dormana teiktā, gan Windows Defender Exploit Guard, gan EMET iespējot visas sistēmas ASLR, vienlaikus neļaujot arī visas sistēmas augšupēju ASLR.

Pat ja Windows Defender Exploit Guard ir visas sistēmas opcija visas sistēmas augšupējai ASLR, noklusējuma GUI vērtība “Ieslēgta pēc noklusējuma” neatspoguļo pamatā esošo reģistra vērtību.

Tas novedīs pie tā, ka programmas bez / DYNAMICBASE varētu pārvietoties bez entropijas. Programmas katru reizi tiks pārsūtītas uz vienu un to pašu adresi, izmantojot atkārtotu palaišanu un dažādās sistēmās.

Risinājums ir tāds, ka jāizveido.reg fails ar šādu tekstu:

Windows reģistra redaktora versija 5.00

“MitigationOptions” = heksa: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 0, 00, 00

Pēc tam šis fails ir jāimportē reģistra redaktorā, un viss ir jāsakārto.

Daži lietotāji apgalvo, ka problēma rodas no EMET un tās aizstāšanas, kas ir rīks tiem administratoriem, kuriem “ir pārāk daudz laika uz rokām” un kuri tika pārtraukti bez aizstāšanas. Viņi neuzskata, ka problēma ir pamatā esošajā ASLR sistēmā.