ASLR (Address Space Layout Randomization) es una técnica de seguridad implicada en la protección de los ataques de desbordamiento de la pila. Muchos ataques APT (Amenaza Persistente Especializada) recientes han utilizado diferentes técnicas de evasión de ASLR durante el año pasado, de acuerdo con investigadores de FireEye.

Muchos exploits y ataques de malware se basan en la capacidad del programador para identificar con precisión los procesos específicos o funciones del sistema que residen en la memoria. Para que un atacante pueda explotar o aprovechar una función, primero debe ser capaz de decirle a su código dónde encontrará la función o proceso que explotará.

El objetivo de ASLR es introducir la aleatoriedad en las direcciones utilizadas por una tarea dada. Se trata de organizar de forma aleatoria las posiciones de las áreas de datos clave de un programa, como la base del ejecutable y las posiciones de la pila, datos, y bibliotecas, en el espacio de direcciones del proceso.

Hoy en día, una gran cantidad de atención se pone del lado del cliente que explota, sobre todo dentro de los navegadores web. Normalmente la explotación se realiza a través del método más antiguo conocido de pulverización de la pila.

Según los investigadores, la forma más fácil y popular para derrotar a la protección ASLR es cargar un módulo no-ASLR. Estos ataques se utilizaron recientemente en Internet Explorer (IE) con exploits día cero CVE-2.013 a 3.893 y algunas otras vulnerabilidades como CVE2013-1347, CVE-2.012 a 4.969, CV - 2012-4792.

Pero hay una limitación, la técnica de módulo no-ASLR requiere que IE 8 y el IE 9 puedan ejecutar el software antiguo como JRE 1.6, Office 2007 /2010.

Otra técnica de evasión ASLR implica la modificación de la longitud BSTR/terminador nulo. Sin embargo, ésta solo se aplica a tipos específicos de vulnerabilidades que pueden sobrescribir la memoria, tales como desbordamiento del búfer, escritura de memoria arbitraria, y el aumento/disminución del contenido de un puntero de memoria. El exploit de día cero para Adobe XFA (CVE - 2013 a 0640) utiliza esta técnica para encontrar la dirección base AcroForm.api y construye una cadena de ROP dinámicamente para eludir ASLR y DEP.

"Lo bueno de este tipo de vulnerabilidades es que pueden dañar la longitud de un BSTR de tal manera que con el BSTR puede acceder a la memoria fuera de sus límites originales. Estos accesos pueden revelar las direcciones de memoria que se pueden utilizar para identificar las bibliotecas adecuadas para la ROP. Una vez que la explotación tiene evasión de  ASLR, de esta manera, se podrá utilizar el mismo error de corrupción de memoria para controlar EIP”.

Según Microsoft, este tipo de errores suelen utilizar Java Script para provocar la falla, así como "heap spray" para abusar de la memoria y eludir ASLR. Evadir ASLR se ha vuelto cada vez más común en los ataques de día cero.