攻击者可以将微软的漏洞防御工具emet自身变为自身
在PC和Mobile之后,VR设备的芯片争夺酿造
Cisco报告说,在未来勒索软件毫无准备的业务
CIO采访:斯图尔特麦克斯基姆明,庇护所
澳大利亚知道它具有网络安全问题,但不是规模
用户可以作为Windows 10到达他们的背部时
Lloyds Banking Group将AX掌舵员工
遇见康妮,希尔顿的智能机器人礼宾
现在是a.i.掌握了'走,'接下来都是我们的工作吗?
SIEM增长最快的安全市场部分,揭示了Gartner
谷歌获得高级玻璃和无人驾驶送货卡车的专利
这些可以成为您要找的无人机吗?
CIO采访:Andy Haywood,首席运营官,N Brown Group
OS X El Capitan采用落后于前任
MI5被指控妥协安全法院
迈出,亚马逊:美国军方也在开发送货无人机
LG修补数据盗窃错误影响数百万个Android手机
戴尔剥离软件业务,为EMC交易释放资金
Brexit:资金和技能的不确定性可能会影响英国技术初创公司
Microsoft将为所有Office 365用户提供Yammer
去Debunked:通过互联网的无限监测机会
窃贼可以轻松禁用流行的家庭安全系统SimpliSafe
CIO采访:云在新闻公司的必然
被搁置的IT工人蒙上震动争论升温
马来西亚用伊斯兰扭曲接近金融气
英国业务不太可能躲避欧盟网络安全规则后发布
猫S60是一个可以在黑暗中看到的智能手机(+视频)
案例分析:odeon进入混合云进行数字转换
来自IBM-Apple Linkup的CIO TOUT移动应用程序
BT提供安全,私有网络连接到Oracle Cloud
告别袜子:Evernote的脱离电子商务
在苹果汽车烹饪提示,停止确认
社会科技面临的挑战,以及将解决它们的挑战
亚马逊云盈利3倍,所以股票钻出。等等,什么?
Oracle在AWS上瞄准了云策略
对另一台IP相机的研究揭示了严重的问题
Microsoft的Azure Stack Beta获取新服务,DevOps Tools
我的永恒追求完美的超级碗娱乐室
NHS England Scraps争议Care.Data程序
苏格兰警察和埃森哲终止IT系统合同
提示这个惊喜:Oracle建议亚马逊的云不是真实的
谷歌的可调云基础设施服务留下了beta
研究人员在铬的基础上发现了严重的缺陷Safezone浏览器
立方运输许可证TFL的非接触式支付系统
最新测试显示所有四个主要的无线运营商都很强大
政府在国家公园英国的ESN达成协议
三星Galaxy S7手机获取游戏,虚拟现实的图形收费
索赔议会机构需要更多保护MPS Communications所需的保障措施
自驾车作为特斯拉司机在崩溃中丧生的第一个致命性
身份盗贼从IRS系统获得100,000个电子锉刀
您的位置:首页 >科技 > 技术前沿 >

攻击者可以将微软的漏洞防御工具emet自身变为自身

2021-06-18 08:44:26 [来源]:

黑客可以轻松禁用Microsoft增强缓解体验工具包(EMET),这是公司使用的免费工具,以加强其Windows计算机和对软件利用的应用程序。

安全供应商Fireeye的研究人员发现了一种方法,通过它可以通过利用工具本身的合法功能来卸载EMET强制保护。

Microsoft在EMET 5.5中修补了该问题,该问题于2月2日发布。但是,它可能是许多用户尚未升级,因为新版本主要增加了与Windows 10的兼容性,并且不会带来任何新的显着缓解。

首次发布于2009年,EMET可以执行现代利用缓解机制,如数据执行预防,地址空间布局随机化或导出地址表访问过滤到应用程序,尤其是传统的,尤其是在没有它们的情况下建立的。这使得攻击者更难利用这些应用程序中的漏洞,以便妥协计算机。

安全研究人员多年来发现了各种方式来绕过特定的EMET强制缓解,但它们主要是设计和实现错误的结果,如某些模块或API被留下未受保护。过去报道了禁用EMET保护的方法,但它们并不总是直截了当,需要大量努力。

Fireeye研究人员认为,他们的新技术基本上使用EMET对抗本身,比以前发布的任何绕过更可靠,更容易使用。此外,它适用于EMET-5.0,5.1和5.2的所有支持的版本 - 除EMET 5.5之外,还有在不再支持的版本,如4.1。

EMET将一些DLL(动态链路库)注入其CONPD以保护的第三方应用程序进程。这允许它将来自这些进程的呼叫监视到关键系统API,并确定它们是否是合法的或漏洞的结果。

但是,该工具还包含负责以干净的方式卸载缓解的代码,将受保护的进程返回到初始状态而不会导致故障或崩溃。这是Fireeye研究人员的特点是如何从漏洞利用触发如何触发。

“一个只需要找到并称之为这个函数来完全禁用EMET,”他们在周二的博客文章中说。“在Emet.dll v5.2.0.1中,此函数位于Offset 0x65813。跳转到此函数会导致后续调用,删除EMET安装的挂钩。“

他们说,这是一个重要的新攻击载体,它比绕过每个EMET的唯一保护,因为它们所设计的唯一保护。

由于这种技术现在是公开,EMET用户应尽快考虑升级到版本5.5,以避免可能采用它的未来攻击。除了Windows 10兼容性外,这个新的EMET版本还可以通过组策略来提高保护的配置和管理,并提高EAF和EAF +缓解的性能。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。