Windows Vista donio je zanimljivu sigurnosnu značajku nazvanu ASLR - Randomizacija rasporeda adrese. Ovo koristi slučajnu memorijsku adresu za izvršavanje koda, ali u sustavima Windows 8, Windows 8.1 i Windows 10 čini se da se ova značajka ne primjenjuje uvijek ispravno.

Prema sigurnosnom analitičaru, u ove tri posljednje verzije sustava Windows, ASLR ne koristi slučajne memorijske adrese. Drugim riječima, beskorisno je.

Kako implementirati ASLR ručno

Izvršavanjem koda na nasumičnim mjestima, ASLR pomaže u zaštiti od podviga kojima pokušavate iskoristiti kôd koji se izvršava na predvidljivim ili poznatim memorijskim adresama.

Problem se pojavljuje kada se EMET ili Windows Defender Exploit Guard koriste za omogućavanje obveznog ASLR-a na sustavu.

Stručnjak za sigurnost koji je proučavao problem je Will Dormann i on objašnjava sve što trebate znati o problemu koji dolazi zbog unosa u registar.

Prema Dormannu, i Windows Defender Exploit Guard i EMET omogućuju ASLR na cijelom sustavu, a da ne omogućuju ASLR odozdo prema gore na cijelom sustavu.

Čak i ako Windows Defender Exploit Guard ima opciju na nivou cijelog sustava za ASLR odozdo prema gore, zadana GUI vrijednost „Uključeno prema zadanom“ ne odražava temeljnu vrijednost registra.

To će dovesti do činjenice da se programi bez / DYNAMICBASE premještaju bez entropije. Programi će se prenijeti na istu adresu svaki put kroz ponovno podizanje sustava i preko različitih sustava.

Rješenje je da morate stvoriti.reg datoteku sa sljedećim tekstom:

Verzija uređivača registra Windows 5.00

„MitigationOptions” = hex: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Zatim, ovu datoteku morate uvesti u uređivač registra i sve bi trebalo riješiti.

Neki korisnici navode da problem proizlazi iz EMET-a i njegove zamjene, što je alat za sysadmine koji „imaju previše vremena na rukama“ i koji je prestao bez zamjene. Ne misle da je problem s osnovnim ASLR sustavom.