![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
Auweia, n\u00e4chster Ausrutscher von Microsoft beim Thema Sicherheit. Den Entwicklern ist ein Fehler unterlaufen, der dazu f\u00fchrt, dass der ASLR-Mechanismus in Windows 8, Windows 8.1 und Windows 10 nicht immer richtig funktioniert. Es gibt aber einen Fix.<\/p>\n
<\/p>\n
Um das Feature zu aktivieren, mussten Benutzer Microsoft EMET unter Windows Vista oder Windows 7 installieren, um ASLR in systemweiten und\/oder anwendungsspezifischen Zust\u00e4nden zu aktivieren. EMET wird aber 2018 eingestellt und Microsoft hat dessen Funktionen in Windows 10 integriert.<\/p>\n Ruft man das Windows Defender Security Center (z.B. \u00fcber die Einstellungen<\/em>-App) auf, kann man unter App- & Browsersteuerung<\/em> auf die Einstellungen f\u00fcr den Exploit-Schutz zugreifen.<\/p>\n Zumindest auf meinem Testsystem sind nicht alle ASLR-Einstellungen standardm\u00e4\u00dfig aktiviert.<\/p>\n Erst vor einigen Stunden habe ich im Blog-Beitrag Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?<\/a> \u00fcber den Patch beim Office-Formeleditor berichtet. Im Formeleditor EQNEDT32.EXE, der nach wie vor in allen Microsoft Office-Paketen enthalten ist, gab es eine Sicherheitsl\u00fccke CVE-2017-11882, die beim November 2017-Patchday geschlossen wurde.<\/p>\n Bei der Untersuchung dieser Sicherheitsl\u00fccke entdeckte der CERT\/CC Schwachstellenanalytiker Will Dormann, dass ASLR die Speichercodepositionen von Anwendungs-Bin\u00e4rdateien unter bestimmten Bedingungen nicht zuf\u00e4llig randomisierte. W\u00e4hrend bei Windows 7 und EMET die Speicheradressen geladener Module durch ASLR bei neuem Windows-Neustart zuf\u00e4llig waren, traf dies in Windows 10 nicht mehr zu. In einem Tweet<\/a> publizierte Dormann seine Erkenntnisse.<\/p>\n Actually, with Windows 7 and EMET System-wide ASLR, the loaded address for eqnedt32.exe is different on every reboot. But with Windows 10 with either EMET or WDEG, the base for eqnedt32.exe is 0x10000 EVERY TIME. \u2014 Will Dormann (@wdormann) 15. November 2017<\/a><\/p><\/blockquote>\nAddress Space Layout Randomization (ASLR)<\/a> ist eine Sicherheitstechnologie f\u00fcr Computer, die es Angreifern durch 'Speicherverw\u00fcrfelung' beim Laden des Codes schwerer machen soll, einen Puffer\u00fcberlauf auszunutzen. Diese Technik ist eigentlich in allen modernen Betriebssystemen irgendwie enthalten. Bei Windows Vista hat Microsoft ASLR erstmals im gesamten System implementiert.<\/p>\n
Windows 10: ASLR im Defender enthalten<\/h2>\n
![\"Defender](\"https:\/\/i.imgur.com\/BweVr2Z.jpg\" "\\"Defender")
<\/p>\n![\"Defender](\"https:\/\/i.imgur.com\/chJ7GDG.jpg\" "\\"Defender")
<\/p>\nMerkw\u00fcrdigkeit beim Office-Formeleditor<\/h2>\n
\n
\nConclusion: Win10 cannot be enforce ASLR as well as Win7! pic.twitter.com\/Jp10nqk1NQ<\/a><\/p>\n