Fix: Windows 8/8.1/10 patzen bei ASLR

Auweia, nächster Ausrutscher von Microsoft beim Thema Sicherheit. Den Entwicklern ist ein Fehler unterlaufen, der dazu führt, dass der ASLR-Mechanismus in Windows 8, Windows 8.1 und Windows 10 nicht immer richtig funktioniert. Es gibt aber einen Fix.

Address Space Layout Randomization (ASLR) ist eine Sicherheitstechnologie für Computer, die es Angreifern durch ‘Speicherverwürfelung’ beim Laden des Codes schwerer machen soll, einen Pufferüberlauf auszunutzen. Diese Technik ist eigentlich in allen modernen Betriebssystemen irgendwie enthalten. Bei Windows Vista hat Microsoft ASLR erstmals im gesamten System implementiert.

Windows 10: ASLR im Defender enthalten

Um das Feature zu aktivieren, mussten Benutzer Microsoft EMET unter Windows Vista oder Windows 7 installieren, um ASLR in systemweiten und/oder anwendungsspezifischen Zuständen zu aktivieren. EMET wird aber 2018 eingestellt und Microsoft hat dessen Funktionen in Windows 10 integriert.

Defender Exploit-Schutz

Ruft man das Windows Defender Security Center (z.B. über die Einstellungen-App) auf, kann man unter App- & Browsersteuerung auf die Einstellungen für den Exploit-Schutz zugreifen.

Defender ASLR-Einstellungen

Zumindest auf meinem Testsystem sind nicht alle ASLR-Einstellungen standardmäßig aktiviert.

Merkwürdigkeit beim Office-Formeleditor

Erst vor einigen Stunden habe ich im Blog-Beitrag Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren? über den Patch beim Office-Formeleditor berichtet. Im Formeleditor EQNEDT32.EXE, der nach wie vor in allen Microsoft Office-Paketen enthalten ist, gab es eine Sicherheitslücke CVE-2017-11882, die beim November 2017-Patchday geschlossen wurde.

Bei der Untersuchung dieser Sicherheitslücke entdeckte der CERT/CC Schwachstellenanalytiker Will Dormann, dass ASLR die Speichercodepositionen von Anwendungs-Binärdateien unter bestimmten Bedingungen nicht zufällig randomisierte. Während bei Windows 7 und EMET die Speicheradressen geladener Module durch ASLR bei neuem Windows-Neustart zufällig waren, traf dies in Windows 10 nicht mehr zu. In einem Tweet publizierte Dormann seine Erkenntnisse.

Bei jedem Neustart wurde der fehlerhafte Formeleditor EQNEDT32.EXE an die gleiche Speicheradresse geladen. Laut diesem CERT-Alert verhindert ein Bug in Form eines fehlerhaften Registrierungseintrags ab Windows 8 (und damit in Windows 8.1 und Windows 10) die saubere Nutzung von ASLR.

Fix: Die Registrierungswerte nachtragen

Es gibt glücklicherweise einen Fix der ASLR unter den betreffenden Windows-Versionen wieder funktionsfähig macht. Hierzu ist eine .reg-Datei mit folgendem Inhalt zu erstellen:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Dann lässt sich die .reg-Datei unter einem Administratorkonto per Doppelklick importieren. Alternativ kann regedit.exe mit administrativen Berechtigungen aufgerufen werden. Dann kann der Import der Registierungsdaten über das Datei-Menü erfolgen. (via  Bleeping Computer)

Nachtrag: Microsoft hat zum Thema Stellung bezogen – siehe Windows 8/8.1/10 ASLR-Patzer ist ein Feature, sagt Microsoft

Ähnliche Artikel:
Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?
Defender Application Control blockt Programme/Downloads
Windows 10 V1709: Klippen beim Defender?
Illusion GAP: Windows Defender ausgehebelt
Windows Defender Cloud-Echtzeitschutz
Windows Defender Offline scannt nicht

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Fix: Windows 8/8.1/10 patzen bei ASLR

  1. Herr IngoW sagt:

    Bei „Bleeping Computer“ gibt’s das auch als Datei: https://download.bleepingcomputer.com/reg/ASLR-fix.reg
    Wenn man den Schalter im „Defender“ eischaltet (Defender -> App & Browsersteuerung -> Einstellungen für Exploit-Schutz -> obligatorische ADSR -> standardmäßig aktiviert), reicht das nicht. Es Steht im hex-Bereich des Schlüssels der dritte Zweierblock auf „00“ in dem angegebenen Schlüssel steht er auf „01“.

  2. Sami S. sagt:

    In manchen Versionen scheint es das Exploit-Schutz Menü nicht zu geben.
    Bei mir fehlt es bspw.
    Win10, 1703, Build 15063.726

  3. Holger Drechsler sagt:

    Ich habe diesen ganzen Expoidschutzkram schwer im Verdacht, dass er mein nagelneues System ausbremst. Unter Windows 7 hatte ich nie Probleme mit der Geschwindigkeit. Nach Wechsel auf Windows 10 verlangsamte sich alles bei ordentlichem Multitasking (aber trotzdem nur 20% Speicherbelegung). Ich dachte, ich kann es mit neuer Technik erschlagen. Denkste! Sicher ist alles schneller, aber eben nur so lange ich nicht mehrere ordentliche Programme gleichzeitig offen habe (hieß es nicht deswegen WindowS ?). Nach abschalten des Ablaufsteuerungsschutzes hat es sich ein wenig gebessert. Irgenwo las ich, dass Windows 10 beim Anlegen neuer Prozesse um die 300ms benötigt. Windows 7 benötigte 2-3ms. Merken die es in Redmont überhaupt noch? Ich will mit dem Rechner professionell arbeiten und nicht jedesmal in die Systemtiefen abtauchen, um dort die Bremsen zu lösen. Ich sage einfach mal voraus: Rechner werden nie mehr schneller werden weil Microsoft in gleichen Maße, wie Hardware schneller wird das Betriebssystem mit immer mehr Quatsch ausstattet. Wann kommt endlich ein anderes Betriebssystem, auf dem alle meine nötgen Programme laufen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert