Ny udnyttelse gør det muligt for angriberne at deaktivere Enhanced Mitigation Experience Toolkit

En nylig rapport foreslår sårbarheder i Microsoft EMET værktøjet kan udnyttes til at deaktivere alle beskyttelser, som den håndhæver for andre programmer i Windows. Microsofts Enhanced Mitigation Experience Toolkit (EMET) er et gratis Windows-baseret sikkerhedsværktøj, der tilføjer et ekstra lag af sikkerhed for at forsvare Windows OS mod potentielt farlige virustrusler.

EMET

Forskere finder Microsoft EMET udnytte

EMET injicerer emet.dll or emet64.dll (afhængigt af arkitekturen) i hver beskyttet proces, som installerer Windows API-kroge (eksporterede funktioner af DLL'er som kernel32.dll, ntdll.dll og kernelbase.dll). Disse kroge giver værktøjets evne til at analysere eventuelle kodeopkald i kritiske API'er og finde ud af om de er legitime. Hvis det viser sig at være legitimt, hopper EMET-hooking kode tilbage i den anmodede API. Hvis ikke, udløser det en undtagelse.

Når det er sagt, eksisterer der en streng kode inden for EMET, der er ansvarlig for losning af EMET. Koden gør systematisk, at EMET mister hele sin beskyttelsesevne og returnerer programmet til dets oprindelige dvs. ubeskyttede tilstand.

En person skal simpelthen finde og ringe til denne funktion for fuldstændigt at deaktivere EMET. I EMET.dll v5.2.0.1 er denne funktion placeret i offset 0x65813. Skift til denne funktion af EMET-værktøj resulterer i efterfølgende opkald, som fjerner EMET's installerede kroge.

Man skal blot finde og kalde denne funktion for fuldstændigt at deaktivere EMET, "rapporterede FireEye forskere i en blogindlæg. "I EMET.dll v5.2.0.1 er denne funktion placeret i offset 0x65813. Hoppe til denne funktion resulterer i efterfølgende opkald, som fjerner EMET's installerede kroge. "

Hvad der kan ses som fra nu er udnyttelsen er en ny angrebsvektor, der er lettere at ansætte end at omgå hver af EMETs individuelle beskyttelser, som de blev designet.

Et par måneder tilbage blev der også diskuteret en anden sårbarhed, der tillod angriberne omgå EMET med en enkelt instruktion. Ligesom den tidligere sårbarhed er den nuværende også blevet patched.

Da denne teknik er offentligt synlig, anbefales det, at EMET-brugere hurtigst muligt opgraderer til den seneste version for at undgå fremtidige angreb. I tillæg til Windows 10 kompatibilitet forbedrer den seneste EMET-version præstationen til EAF og EAF + -bekæmpelsen.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.