Le CERT a publié une note le 17 novembre décrivant des déficiences de l’ASLR, Adress Space Layout Randomization ou distribution aléatoire de l’espace d’adressage, dans Windows 8 et Windows 10.

L’ASLR est une technique qui rend presque impossible les attaques par corruption de la mémoire et les attaques par réutilisation de code, c’est une arme redoutable contre les logiciels malveillants.

Concernant les points mentionnés, Microsoft reconnaît un bogue de l’interface utilisateur du Centre de sécurité Windows Defender de Windows 10, Falls Creator Update Edition, où la configuration de la randomisation du format d’espace d’adresse de bas en haut, n’est pas répercutée sur la configuration du système.

L’équipe de WDEG (Windows Defender Exploit Guard) analyse le bogue et travaille sur un correctif. La solution de rechange que nous présentions précédemment, avec un changement dans le registre de Windows, est valide.

De plus, il est impossible de configurer cette option pour tout le système dans EMET de Windows 8.

Pour le reste, Microsoft estime dans le billet Clarifying the behavior of mandatory ASLR, que l’ALSR fonctionne tel que souhaité.

Le cas mentionné par Will Dormann d’absence de randomisation, en jaune sur le schéma suivant, est une fonctionnalité, et non un bogue:

Matrice ASLR de Microsoft

Matrice ASLR de Microsoft

La randomisation du format d’espace d’adresse de bas en haut n’est activée par défaut que si le fichier EXE ou DLL opte pour l’ASLR avec /DYNAMICBASE, pour des raisons de compatibilité: ces applications ne s’attendent pas à ce que leur espace d’adressage change d’un lancement à un autre.

D’après Microsoft, ce problème rare n’arriverait en pratique que quand l’administrateur tente intentionnellement d’activer l’ASLR pour un processus qui ne pourrait pas en bénéficier complètement.

Avec Windows 7, EMET fonctionnait différemment: l’activation de l’ASLR pour tout le système traitait chaque programme comme s’il avait opté pour l’ASLR, une stratégie qui n’est pas recommandée pour des raisons de compatibilité. C’est pourquoi son fonctionnement a changé dans les versions ultérieures de Windows.