Windows 8, 8.1 y 10 implementan incorrectamente la función de seguridad ASLR

Windows 8, 8.1 y 10 implementan incorrectamente la función de seguridad ASLR

Windows Vista trajo una interesante característica de seguridad llamada ASLR – Address Space Layout Randomization. Esto usa una dirección de memoria aleatoria para ejecutar código, pero en Windows 8, Windows 8.1 y Windows 10, parece que esta característica no siempre se implementa correctamente.

Según un analista de seguridad, en estas tres últimas versiones de Windows, ASLR no utiliza direcciones de memoria aleatorias. En otras palabras, es inútil.

Cómo implementar ASLR manualmente

Al ejecutar código en una ubicación aleatoria, ASLR ayuda a proteger contra los ataques que se intentan aprovechar del código que se ejecuta en direcciones de memoria predecibles o conocidas.

El problema aparece cuando se utiliza EMET o Windows Defender Exploit Guard para habilitar ASLR obligatorio en todo el sistema.

El experto en seguridad que estudió el problema es Will Dormann, y explica todo lo que necesita saber sobre el problema que surge debido a una entrada en el registro.

Según Dormann, tanto Windows Defender Exploit Guard como EMET permiten ASLR en todo el sistema sin permitir también ASLR ascendente en todo el sistema.

Incluso si Windows Defender Exploit Guard tiene una opción para todo el sistema para ASLR ascendente, el valor predeterminado de la interfaz gráfica de usuario «On by default» no refleja el valor subyacente del registro.

Esto llevará a que los programas sin /DYNAMICBASE sean reubicados sin entropía. Los programas se transferirán a la misma dirección cada vez que se reinicie el sistema y a través de diferentes sistemas.

La solución es que tienes que crear un archivo.reg con el siguiente texto:

Editor del Registro de Windows Versión 5.00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]

«Opciones de mitigación»=hex:00,01,01,01,00,00,00,00,00,00,00,00,00,00,0,00,00

Luego, tiene que importar este archivo en el Editor del Registro, y todo debe ser resuelto.

Algunos usuarios afirman que el problema proviene del EMET y su reemplazo, que es una herramienta para los administradores de sistemas que «tienen demasiado tiempo libre» y que fue descontinuado sin un reemplazo. No creen que el problema esté en el sistema ASLR subyacente.

Deja un comentario