Achtung: Windows implementiert ASLR falsch, Fix ist verfügbar
Ab Vista wird Windows mit Adressraum-Layout-Randomisierung (ASLR) geliefert. ASLR ist eine Computersicherheitstechnik, die das Ausnutzen von Sicherheitslücken durch Speicherbeschädigung verhindert. Um zu verhindern, dass ein Angreifer zuverlässig beispielsweise zu einer bestimmten ausgenutzten Funktion im Speicher springen kann, ordnet ASLR zufällig die Adressraumpositionen von Schlüsseldatenbereichen eines Prozesses, einschließlich der Basis der ausführbaren Datei und der Positionen von Stack, Heap und Bibliotheken. Es gibt einen Fehler in Windows 8 und höher, der diese Technik nutzlos macht, aber Sie können ihn beheben.
Die ASLR-Funktion (Address Space Layout Randomization) wurde erstmals in Windows Vista eingeführt. Es ermöglicht die Verhinderung von Code-Reuse-Angriffen. ASLR bietet eine zufällige Speicheradresse zum Ausführen von Code.
Werbung
In Windows 8, Windows 8.1 und Windows 10 funktioniert die ASLR-Funktion nicht richtig. Aufgrund falscher Konfigurationsvorgaben verwendet ASLR keine zufälligen Speicheradressen.
Update: Es gibt einen offiziellen Blog-Beitrag auf Technet, der die Vorgehensweise erklärt. Lesen Sie es hier: Klärung des Verhaltens der obligatorischen ASLR.
Der Beitrag sagt:
Das Konfigurationsproblem ist keine Schwachstelle, stellt kein zusätzliches Risiko dar und schwächt die bestehende Sicherheitslage von Anwendungen nicht.
Ein Beitrag auf CERT erklärt das Problem ausführlich.
Sowohl EMET als auch Windows Defender Exploit Guard ermöglichen systemweites ASLR, ohne auch systemweites Bottom-Up-ASLR zu aktivieren. Obwohl der Windows Defender Exploit Guard eine systemweite Option für systemweite Bottom-up-ASLR bietet, spiegelt der GUI-Standardwert von "Standardmäßig aktiviert" nicht den zugrunde liegenden Registrierungswert (nicht festgelegt) wider. Dadurch werden Programme ohne /DYNAMICBASE verschoben, aber ohne Entropie. Dies hat zur Folge, dass solche Programme verschoben werden, jedoch bei jedem Neustart und sogar über verschiedene Systeme hinweg an dieselbe Adresse.
Zum Glück ist es einfach, das Problem zu beheben.
Fix ASLR in Windows 8, Windows 8.1 und Windows 10
- Öffne das Registrierungseditor-App.
- Gehen Sie zum folgenden Registrierungsschlüssel.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
So rufen Sie einen Registrierungsschlüssel auf mit einem klick.
- Erstellen Sie rechts einen neuen REG_BINARY-Wert namens MitigationOptions und legen Sie seine Wertdaten auf. fest
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Damit die von der Registrierungsoptimierung vorgenommenen Änderungen wirksam werden, Windows 10 neu starten.
Um Zeit zu sparen, können Sie den folgenden Registry-Tweak herunterladen:
Registrierungs-Tweak herunterladen
Das ist es.