Windows 10 integra molte funzionalità di sicurezza, una di queste è l’Address Space Layout Randomization (ASLR) che consiste nel rendere (parzialmente) casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria, in modo da dimostrarsi un efficace protezione contro attacchi quali Buffer Overrun e simili. Questa protezione è stata integrata nel nuovo Windows Defender Security Center, il quale ha dentro di sè il conosciuto EMET.
Vi ricordate la vulnerabilità di cui avevamo parlato qualche giorno fa? Bene, analizzando il comportamento e l’ambiente operativo di questa vulnerabilità, i ricercatori si sono accorti che in specifiche condizioni l’ASLR NON randomizza l’indirizzo di esecuzione del codice binario, come ad esempio riportato in questo tweet:
Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.
Conclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com/Jp10nqk1NQ— Will Dormann (@wdormann) 15 novembre 2017
Esiste un fix al problema? Certo!
Il ricercatore ha in aggiunta indicato dei passaggi per poter far in modo che l’ASLR lavori correttamente, per far questo è opportuno agire nel registro di sistema. Aprire un file di testo, quindi incollarci le seguenti righe:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00
Ora salvare il file con estensione .reg (indicando come tipo TUTTI I FILE) quindi aprire il file ed aggiungerlo al registro di sistema. Abbiamo preparato un file da scaricare disponibile partendo da qui.
Ovviamente questo in attesa che Microsoft corregga il problema rilasciando una patch di aggiornamento.
Avviso L’errata modifica del Registro di sistema tramite l’editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di problemi derivanti dall’errato utilizzo dell’editor del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell’utente. Prima di procedere a modifiche del registro si consiglia di effettuare un salvataggio delle chiavi interessate, come indicato in:Come eseguire il backup e il ripristino del Registro di sistema in Windows
Via:BleepingComputer