Windows Vista הביאה תכונת אבטחה מעניינת בשם ASLR - Randomization Layout Layout Address. זה משתמש בכתובת זיכרון אקראית כדי לבצע קוד, אך ב- Windows 8, Windows 8.1 ו- Windows 10, נראה שתכונה זו לא תמיד מיושמת נכון.

לדברי אנליסט אבטחה, בשלוש הגרסאות האחרונות של Windows, ASLR לא משתמש בכתובות זיכרון אקראיות. במילים אחרות, זה חסר תועלת.

כיצד ליישם ASLR ידנית

על ידי ביצוע קוד במקום אקראי, ASLR מסייע בהגנה מפני ניצולים שאתה מנסה לנצל את הקוד שמבוצע בכתובות זיכרון צפויות או ידועות.

הבעיה מופיעה כאשר משתמשים ב- EMET או ב- Windows Defender Exploit Guard כדי לאפשר ASLR חובה על בסיס כלל המערכת.

מומחה האבטחה שחקר את הנושא הוא וויל דורמן, והוא מסביר את כל מה שצריך לדעת על הנושא שמגיע בגלל ערך רישום.

לדברי דורמן, גם Windows Defender Exploit Guard וגם EMET מאפשרים ASLR בכל המערכת מבלי לאפשר גם ASLR מלמטה למעלה.

אפילו אם יש ל- Windows Defender Exploit Guard אפשרות כלל מערכת עבור ASLR כל המערכת-מערכת, הרי ש- GUI ברירת המחדל של "On כברירת מחדל" אינו משקף את ערך הרישום הבסיסי.

זה יוביל לכך שתוכניות ללא / DYNAMICBASE יועברו ללא אנטרופיה. התוכניות יועברו לאותה כתובת בכל פעם מחדש על-ידי הפעלה מחדש ובכל מערכות שונות.

הפיתרון הוא שעליך ליצור קובץ.reg עם הטקסט הבא:

עורך הרישום של Windows גרסה 5.00

"MitigationOptions" = הקס: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

לאחר מכן, עליך לייבא קובץ זה לעורך הרישום וצריך למיין את הכל.

חלק מהמשתמשים טוענים כי הבעיה נובעת מ- EMET והחלפתה המהווה כלי לסיסדמינים ש"יש להם יותר מדי זמן בידם "וזה הופסק ללא תחליף. הם לא חושבים שהבעיה היא במערכת ASLR הבסיסית.