攻击者可以将微软的漏洞防御工具emet自身变为自身
黑客可以轻松禁用Microsoft增强缓解体验工具包(EMET),这是公司使用的免费工具,以加强其Windows计算机和对软件利用的应用程序。
安全供应商Fireeye的研究人员发现了一种方法,通过它可以通过利用工具本身的合法功能来卸载EMET强制保护。
Microsoft在EMET 5.5中修补了该问题,该问题于2月2日发布。但是,它可能是许多用户尚未升级,因为新版本主要增加了与Windows 10的兼容性,并且不会带来任何新的显着缓解。
首次发布于2009年,EMET可以执行现代利用缓解机制,如数据执行预防,地址空间布局随机化或导出地址表访问过滤到应用程序,尤其是传统的,尤其是在没有它们的情况下建立的。这使得攻击者更难利用这些应用程序中的漏洞,以便妥协计算机。
安全研究人员多年来发现了各种方式来绕过特定的EMET强制缓解,但它们主要是设计和实现错误的结果,如某些模块或API被留下未受保护。过去报道了禁用EMET保护的方法,但它们并不总是直截了当,需要大量努力。
Fireeye研究人员认为,他们的新技术基本上使用EMET对抗本身,比以前发布的任何绕过更可靠,更容易使用。此外,它适用于EMET-5.0,5.1和5.2的所有支持的版本 - 除EMET 5.5之外,还有在不再支持的版本,如4.1。
EMET将一些DLL(动态链路库)注入其CONPD以保护的第三方应用程序进程。这允许它将来自这些进程的呼叫监视到关键系统API,并确定它们是否是合法的或漏洞的结果。
但是,该工具还包含负责以干净的方式卸载缓解的代码,将受保护的进程返回到初始状态而不会导致故障或崩溃。这是Fireeye研究人员的特点是如何从漏洞利用触发如何触发。
“一个只需要找到并称之为这个函数来完全禁用EMET,”他们在周二的博客文章中说。“在Emet.dll v5.2.0.1中,此函数位于Offset 0x65813。跳转到此函数会导致后续调用,删除EMET安装的挂钩。“
他们说,这是一个重要的新攻击载体,它比绕过每个EMET的唯一保护,因为它们所设计的唯一保护。
由于这种技术现在是公开,EMET用户应尽快考虑升级到版本5.5,以避免可能采用它的未来攻击。除了Windows 10兼容性外,这个新的EMET版本还可以通过组策略来提高保护的配置和管理,并提高EAF和EAF +缓解的性能。