Windows Vistaは、ASLR-Address Space Layout Randomizationと呼ばれる興味深いセキュリティ機能をもたらしました。 これは、ランダムメモリアドレスを使用してコードを実行しますが、Windows 8、Windows 8.1、およびWindows 10では、この機能が常に正しく実装されていないようです。

セキュリティアナリストによると、これら3つの最新バージョンのWindowsでは、ASLRはランダムメモリアドレスを使用していません。 言い換えれば、それは役に立たない。

ASLRを手動で実装する方法

ランダムな場所でコードを実行することにより、ASLRは、予測可能なまたは既知のメモリアドレスで実行されるコードを利用しようとするエクスプロイトから保護するのに役立ちます。

この問題は、EMETまたはWindows Defender Exploit Guardを使用して、システム全体で必須ASLRを有効にした場合に発生します。

この問題を調査したセキュリティの専門家はウィルドーマンであり、彼はレジストリエントリが原因で発生する問題について知っておく必要があるすべてを説明しています。

Dormannによると、Windows Defender Exploit GuardとEMETはどちらも、システム全体のボトムアップASLRを有効にすることなく、システム全体のASLRを有効にします。

Windows Defender Exploit Guardにシステム全体のボトムアップASLRのシステム全体のオプションがある場合でも、デフォルトのGUI値「デフォルトでオン」は基礎となるレジストリ値を反映しません。

これにより、/ DYNAMICBASEのないプログラムはエントロピーなしで再配置されます。 プログラムは、再起動および異なるシステム間で毎回同じアドレスに転送されます。

解決策は、次のテキストを含む.regファイルを作成する必要があることです。

Windowsレジストリエディターバージョン5.00

“ MitigationOptions” = hex：00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

次に、このファイルをレジストリエディターにインポートする必要があり、すべてを整理する必要があります。

一部のユーザーは、問題はEMETとその置換に起因すると述べています。これは、「時間がかかりすぎる」システム管理者向けのツールであり、置換なしで中止されました。 彼らは、問題が基礎となるASLRシステムにあるとは考えていません。