Protezione ASLR disattivata in Windows 10

A partire da Windows Vista, Microsoft ha introdotto una tecnica nota come ASLR (Address Space Layout Randomization) per ostacolare l’accesso alla memoria di sistema, rendendo casuali gli indirizzi in cui viene copiato il codice delle applicazioni. Un ricercatore di sicurezza ha tuttavia scoperto che la tecnica non è efficace su Windows 10 e Windows 8.x, quindi la protezione è praticamente inutile.

La ASLR dovrebbe impedire ad un eventuale malware di trovare gli indirizzi di memoria usati dalle applicazioni, in quanto generati in maniera casuale. Per sfruttare questa tecnica occorre abilitare la corrispondente funzionalità con il software EMET (Enhanced Mitigation Experience Toolkit) su Windows Vista, 7 e 8.x. La stessa operazione può essere effettuata su Windows 10 tramite Windows Defender Exploit Guard, incluso in Windows 10 Fall Creators Update (l’opzione è presente nel Windows Defender Security Center).

Il ricercatore Will Dormann ha scoperto che, nonostante l’attivazione di ASLR in Windows 8.x e Windows 10, la locazione di memoria non viene generata in maniera casuale. Anche dopo il riavvio del computer, l’indirizzo base è sempre lo stesso. La tecnica funziona invece su Windows Vista e Windows 7. In pratica la protezione della memoria è inefficace e il sistema operativo rimane vulnerabile.

In attesa della patch di Microsoft è possibile attivare la ASLR, modificando manualmente una chiave del registro. È sufficiente scrivere il seguente testo in un file con estensione .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,00,00,00,00,00

Per importare il file basta un doppio clic o la scelta della voce Importa nel menu File del Windows Registry Editor (regedit.exe). Prima di modificare il registro è consigliabile effettuare un backup. L’attivazione di ASLR potrebbe causare problemi con vecchie applicazioni o driver.