Si utiliza Microsoft EMET en equipos con Windows 8.x o Windows 10, o el nuevo Windows Defender Exploit Guard en Windows 10 versión 1709, es posible que su sistema no esté protegido correctamente por una característica de protección denominada Aleatorización de la distribución del espacio de direcciones (ASLR).
El investigador de seguridad Will Dormann del CERT/CC descubrió un problema de implementación de ASLR en máquinas Windows 8 y Windows 10.
Microsoft introdujo ASLR en Windows Vista para evitar ataques de reutilización de código mediante la aleatorización de las direcciones en las que se cargaban los archivos ejecutables en el sistema operativo.
Mientras que las aplicaciones pueden hacer uso de ASLR directamente, Microsoft EMET puede usarse para agregar soporte para ASLR en todo el sistema o específico de la aplicación en máquinas Windows.
Microsoft anunció sus planes de retirar a Microsoft EMET recientemente, y agregó protecciones de explotación a la versión actualizada de Windows 10 Fall Creators de la compañía como una sustitución.
Según la divulgación en Cert.org, Microsoft introdujo un cambio en el manejo de ASLR. Básicamente, lo que Microsoft hizo fue añadir otro requisito para que la ASLR de todo el sistema requiriera también una ASLR ascendente de todo el sistema.
Microsoft Windows 8 introdujo un cambio en la forma en que se implementa la ASLR obligatoria en todo el sistema. Este cambio requiere que la ASLR ascendente de todo el sistema esté habilitada para que la ASLR obligatoria reciba entropía. Las herramientas que permiten ASLR en todo el sistema sin configurar también ASLR de abajo hacia arriba no podrán aleatorizar adecuadamente los ejecutables que no opten por ASLR.
El efecto es problemático desde el punto de vista de la seguridad, ya que la dirección de las aplicaciones se vuelve predecible incluso si se habilita ASLR en todo el sistema a través de EMET o Exploit Guard en Windows 10 Versión 1709.
Afortunadamente, hay una solución para el problema. Todo lo que hay que hacer es habilitar ASLR y ASLR ascendente en el equipo de destino para solucionar el problema.
Nota : Se recomienda que haga una copia de seguridad del Registro antes de modificarlo. También tenga en cuenta que la importación del valor sobreescribirá cualquier mitigación en todo el sistema especificada por el valor del Registro.
Esto se hace importando el siguiente valor del Registro:
Editor del Registro de Windows Versión 5.00
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl{Control}Session Manager /> «Opciones de mitigación»=hex:00,01,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Puede hacerlo de forma manual, pero es más rápido si crea un archivo del Registro e importa el archivo en su lugar. Hemos creado el archivo del Registro para usted, de modo que sólo tiene que hacer doble clic en él para importar los datos.
Descárguelo con un clic en el siguiente enlace: aslr.zip
Simplemente extraiga el archivo descargado y haga doble clic en el archivo del Registro para importar los datos en el Registro. Puede abrir el archivo en cualquier editor de texto plano primero para evaluar lo que hace antes de hacerlo. (vía Born City)
Resumen Nombre del artículoMicrosoft Security Faux Pas: Problema de implementación de ASLR en Windows 8 y 10DescripciónSi utiliza Microsoft EMET o el nuevo Windows Defender Exploit Guard, es posible que su sistema no esté protegido.