Dikkat: Windows, ASLR'yi yanlış uygular, Düzeltme Mevcuttur

Vista'dan başlayarak, Windows Adres alanı düzeni rastgeleleştirmesi (ASLR) ile birlikte gelir. ASLR, bellek bozulması güvenlik açıklarından yararlanılmasını önlemeye yönelik bir bilgisayar güvenlik tekniğidir. Bir saldırganın, örneğin bellekteki belirli bir istismar edilen işleve güvenilir bir şekilde atlamasını önlemek için, ASLR aşağıdakileri rastgele düzenler. yürütülebilir dosyanın tabanı ve yığın, yığın ve kütüphaneler. Windows 8 ve üzeri sürümlerde bu tekniği işe yaramaz hale getiren bir hata var, ancak bunu düzeltebilirsiniz.

ASLR (Adres Alanı Düzeni Rastgeleleştirme) özelliği ilk olarak Windows Vista'da tanıtıldı. Kod yeniden kullanım saldırılarını önlemeye izin verir. ASLR, kodu yürütmek için rastgele bellek adresi sağlar.

Windows 8, Windows 8.1 ve Windows 10'da ASLR özelliği düzgün çalışmıyor. Yanlış yapılandırma varsayılanları nedeniyle, ASLR rastgele bellek adresleri kullanmaz.

Güncelleme: Technet'te sutiation'ı açıklayan resmi bir blog yazısı var. Burada okuyun: Zorunlu ASLR davranışının netleştirilmesi.

Gönderi diyor ki:

Yapılandırma sorunu bir güvenlik açığı değildir, ek risk oluşturmaz ve uygulamaların mevcut güvenlik duruşunu zayıflatmaz.

CERT ile ilgili bir yazı konuyu ayrıntılı olarak açıklar.

Hem EMET hem de Windows Defender Exploit Guard, sistem genelinde aşağıdan yukarıya ASLR'yi etkinleştirmeden sistem genelinde ASLR'yi etkinleştirir. Windows Defender Exploit koruması, sistem genelinde aşağıdan yukarıya ASLR için sistem genelinde bir seçeneğe sahip olsa da, "Varsayılan olarak Açık" varsayılan GUI değeri, temel kayıt defteri değerini (ayarlanmamış) yansıtmaz. Bu, /DYNAMICBASE içermeyen programların yeniden konumlandırılmasına, ancak herhangi bir entropi olmamasına neden olur. Bunun sonucu, bu tür programların yeniden konumlandırılması, ancak yeniden başlatmalarda ve hatta farklı sistemlerde her seferinde aynı adrese taşınmasıdır.

Neyse ki, sorunu düzeltmek kolaydır.

Windows 8, Windows 8.1 ve Windows 10'da ASLR'yi düzeltin

1. Aç Kayıt Defteri Düzenleyicisi uygulaması.
2. Aşağıdaki Kayıt Defteri anahtarına gidin.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Kontrol\Oturum Yöneticisi\çekirdek

   Kayıt defteri anahtarına nasıl gidileceğini görün tek tıklamayla.

3. Sağ tarafta MitigationOptions adlı yeni bir REG_BINARY değeri oluşturun ve değer verisini şu şekilde ayarlayın:

   00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

   
4. Registry tweak tarafından yapılan değişikliklerin yürürlüğe girmesini sağlamak için, Windows 10'u yeniden başlatın.

Zaman kazanmak için aşağıdaki Kayıt Defteri ayarını indirebilirsiniz:

Registry Tweak'i indirin

Bu kadar.