Jedna z klíčových protimalwarových technik ve Windows 8 a 10 je zcela nefunkční

ASLR (Address Space Layout Randomization) nedokáže malwaru zabránit v napadení systému a jeho aplikací, ale měl by to umět alespoň řádně znesnadnit. Pracuje prostě tak, že pokaždé, co je aplikace spuštěna, ukládá její data na odlišné místo. Pokud je tak kód aplikace plný bezpečnostních chyb, ASLR nás nespasí, ale znesnadní jejich zneužití. 

Windows 10 však mají jeden problém, a sice ten, že data jsou ukládána pokaždé na stejné místo, takže v takovém případě tato ochrana prostě nefunguje. 

Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME.
Conclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com/Jp10nqk1NQ

— Will Dormann (@wdormann) 15. listopadu 2017

ASLR mohou programátoři aplikací využít sami, ale Microsoft na to nechtěl spoléhat, a tak nabízí nástroje, které umožní ASLR využít bez ohledu na to, zda jej daná aplikace podporuje, nebo ne. Tato možnost je už zahrnuta v právě distribuované aktualizaci Fall Creators Update v rámci Windows Defender Exploit Guard a už dříve byla k dispozici v Microsoft EMET (Enhanced Mitigation Experience Toolkit). Cert dále popisuje, jak vznikl daný problém s tím, že ASLR ukládá data na stále stejné místa. 

Dle tohoto popisu také aktuálně neexistuje žádné praktické řešení pro jednoduché využití, ovšem kdo je zkušenější, může si importovat následující klíč do registrů, k čemuž můžete využít i tento návod od Microsoftu.