Pas op: Windows implementeert ASLR onjuist, Fix is beschikbaar
Vanaf Vista wordt Windows geleverd met Randomisatie van adresruimtelay-out (ASLR). ASLR is een computerbeveiligingstechniek die wordt gebruikt om misbruik van kwetsbaarheden voor geheugenbeschadiging te voorkomen. Om te voorkomen dat een aanvaller betrouwbaar naar bijvoorbeeld een bepaalde uitgebuite functie in het geheugen springt, rangschikt ASLR willekeurig de adresruimteposities van belangrijke gegevensgebieden van een proces, inclusief de basis van het uitvoerbare bestand en de posities van de stapel, heap en bibliotheken. Er is een bug in Windows 8 en hoger die deze techniek nutteloos maakt, maar u kunt deze repareren.
De ASLR-functie (Address Space Layout Randomization) werd voor het eerst geïntroduceerd in Windows Vista. Het maakt het voorkomen van code-hergebruikaanvallen mogelijk. ASLR biedt een willekeurig geheugenadres om code uit te voeren.
Advertentie
In Windows 8, Windows 8.1 en Windows 10 werkt de ASLR-functie niet goed. Vanwege verkeerde configuratiestandaarden gebruikt ASLR geen willekeurige geheugenadressen.
Update: Er is een officiële blogpost op Technet die de verzoening uitlegt. Lees het hier: Het gedrag van verplichte ASLR. verduidelijken.
Het bericht zegt:
Het configuratieprobleem is geen kwetsbaarheid, creëert geen extra risico en verzwakt de bestaande beveiligingsstatus van applicaties niet.
Een bericht op CERT legt het probleem uitgebreid uit.
Zowel EMET als Windows Defender Exploit Guard maken systeembrede ASLR mogelijk zonder ook systeembrede bottom-up ASLR mogelijk te maken. Hoewel Windows Defender Exploit Guard een systeembrede optie heeft voor systeembrede bottom-up-ASLR, geeft de standaard GUI-waarde van "Standaard aan" niet de onderliggende registerwaarde weer (uitgeschakeld). Dit zorgt ervoor dat programma's zonder /DYNAMICBASE worden verplaatst, maar zonder enige entropie. Het resultaat hiervan is dat dergelijke programma's worden verplaatst, maar elke keer naar hetzelfde adres bij het opnieuw opstarten en zelfs tussen verschillende systemen.
Gelukkig is het probleem eenvoudig op te lossen.
ASLR repareren in Windows 8, Windows 8.1 en Windows 10
- Open de Register-editor-app.
- Ga naar de volgende registersleutel.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel
Zie hoe u naar een registersleutel gaat met één klik.
- Maak aan de rechterkant een nieuwe REG_BINARY-waarde met de naam MitigationOptions en stel de waardegegevens in op
00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
- Om de wijzigingen die door de registeraanpassing zijn aangebracht van kracht te laten worden, herstart Windows 10.
Om uw tijd te besparen, kunt u de volgende registeraanpassing downloaden:
Download Register Tweak
Dat is het.
