A Microsoft incluiu o recurso de segurança ASLR no Windows desde o Windows Vista. O problema é que ele foi implementado incorretamente no Windows 8, Windows 8.1 e no Windows 10.

ASLR ou Address Space Layout Randomization carrega DLLs em endereços de memória aleatórios no momento da inicialização. Isso ajuda a mitigar o malware que foi projetado para atacar locais específicos de memória, onde DLLs específicas devem ser carregadas.

Problema com recurso de segurança ASLR no Windows pode ser corrigido com uma alteração no Registro

O analista de segurança Will Dormann descobriu que nestas três versões do Windows a implementação incorreta deste recurso de segurança o tornou praticamente inútil. Isto ocorre mesmo com o Microsoft EMET e com o Windows Defender Exploit Guard habilitados.

A boa notícia é que é possível corrigir o problema com uma pequena alteração no Registro do sistema operacional.

A correção para o problema no recurso de segurança ASLR no Windows foi disponibilizada por Dormann no CERT junto com mais detalhes técnicos sobre ele.

Siga os passos abaixo para corrigir o problema no Windows 8, Windows 8.1 e no Windows 10:

– Copie e cole o texto abaixo no Bloco de Notas:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
“MitigationOptions”=hex:00,01,01,00,00,00,00,00,00,00,00,0,00,00

Problema com recurso de segurança ASLR no Windows pode ser corrigido com uma alteração no Registro
– Salve-o como um arquivo .reg (use a opção Salvar como no menu Arquivo):


– Clique com o botão direito do mouse sobre o arquivo selecione a opção abaixo:

– Confirme a alteração e pronto:

  • Daniel Mourthe

    Para aqueles que dão suporte a quem usa os softwares da Caixa Econômica, eu já recomendo enfaticamente desabilitar completamente o ASLR com o comando:

    Reg Add “HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management” /V MoveImages /F /T REG_DWORD /D 0

    Esta dica é infelizmente pouco divulgada, mas é certeira. Inclusive funciona para programas antigos, feitos em versões antigas do Delphi ou do Visual Basic (Exemplos: DOCAD, IBGE, INSS CAT etc.).
    Acabam os erros fatais envolvendo endereços de memória e tudo para a funcionar direitinho

    • Cortana ✔

      E o sistema segue desprotegido.

    • The xD

      Se for para fazer isso, é mais seguro criar uma máquina virtual especificamente para rodar estes softwares, não é nada bom desabilitar a ASLR em nenhum sistema operacional.

      Sem a ASLR as posições de memória passam a ser conhecidas, o que facilita e muito um ataque de stack overflow ou heap overflow, ainda mais para softwares legados e conhecidos, há muito mais chances de haver malwares que só não funcionam atualmente porque a posição onde há a vulnerabilidade está sempre em uma região de memória diferente da esperada.

  • WILSON JMINI

    E porque a MS não faz essa correção?

    • Nelson Cunha

      acho q devido a politica da MS de um pacote de atualizações mensais.
      só mes que vem devemos ter a correção…

  • puxa..que simples!
    Obrigado!

  • Lobo Branco ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    É indicado todos os usuários casuais de Windows fazer este procedimento??

    • edcarlos carvalho

      Acredito que sim amigo, vai melhorar a segurança e não tem como uma mudança simples de registro como essa interferir no funcionamento do Windows ou de outros programas.

    • Bernardo Rosenfeld M.

      Olha, com a demora que a MS gosta de fazer as coisas e por ser bem simples (já que só mandam a cumulativa e se fosse algo mais urgente ai sim colocariam no ato) o método é bem recomendado fazer até para casuais, que também sou.

  • edcarlos carvalho

    Uma coisa tão simples….