Windows Vista, ASLR - Adres Alanı Düzeni Randomizasyonu adında ilginç bir güvenlik özelliği sundu. Bu kod yürütmek için rastgele bir bellek adresi kullanır, ancak Windows 8, Windows 8.1 ve Windows 10'da bu özelliğin her zaman doğru şekilde uygulanmadığı anlaşılmaktadır.

Bir güvenlik analistine göre, Windows'un bu son üç sürümünde, ASLR rastgele bellek adresleri kullanmıyor. Başka bir deyişle, işe yaramaz.

ASLR el ile nasıl uygulanır

Kodu rastgele bir yerde çalıştırarak ASLR, öngörülebilir veya bilinen bellek adreslerinde yürütülen koddan yararlanmaya çalıştığınız istismarlara karşı korunmanıza yardımcı olur.

Sistem genelinde zorunlu ASLR'yi etkinleştirmek için EMET veya Windows Defender Exploit Guard kullanıldığında sorun ortaya çıkar.

Sorunu inceleyen güvenlik uzmanı Will Dormann ve bir kayıt defteri girişi nedeniyle ortaya çıkan sorun hakkında bilmeniz gereken her şeyi açıklıyor.

Dormann'a göre, hem Windows Defender Exploit Guard hem de EMET, sistem genelinde ASLR'ye izin vermeden sistem çapında ASLR'yi mümkün kılıyor.

Windows Defender Exploit Guard, sistem genelinde aşağıdan yukarı ASLR için sistem genelinde bir seçeneğe sahip olsa bile, varsayılan olarak Açık olan varsayılan GUI değeri, temel kayıt defteri değerini yansıtmaz.

Bu, / DYNAMICBASE içermeyen programların entropi olmadan yer değiştirmelerine yol açacaktır. Programlar, yeniden başlatmalar arasında ve farklı sistemler arasında her seferinde aynı adrese aktarılacaktır.

Çözüm, aşağıdaki metinle bir.reg dosyası oluşturmanız gerekmesidir:

Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00

“MitigationOptions” = heks: 00, 01, 01, 00, 00, 00, 00, 00, 00, 00, 00, 0, 00, 00

Ardından, bu dosyayı Kayıt Defteri Düzenleyicisine içe aktarmanız gerekir ve her şey çözülmelidir.

Bazı kullanıcılar, sorunun EMET’ten ve “ellerinde çok fazla zaman geçiren” bir sistem aracı olan ve bunun yerine yenisi bırakılmayan bir aracı olan değişiminden kaynaklandığını belirtiyorlar. Sorunun altta yatan ASLR sistemi ile olduğunu düşünmüyorlar.