<link rel = "stylesheet" id = "gtranslate-style-css" href = "https://websetnet.b-cdn.net/wp-content/plugins/gtranslate/gtranslate-style24.css" type = "tekst / css "media =" all ">

Ny udnyttelse gør det muligt for angriberne at deaktivere Enhanced Mitigation Experience Toolkit

En nylig rapport foreslår sårbarheder i Microsoft EMET tool can be exploited to disable all protections it enforces for other applications in Windows. Microsoft’s Enhanced Mitigation Experience Toolkit (EMET) er et gratis Windows-baseret sikkerhedsværktøj, der tilføjer et ekstra lag af sikkerhed for at forsvare Windows OS mod potentielt farlige virustrusler.

EMET

Forskere finder Microsoft EMET udnytte

EMET injicerer emet.dll or emet64.dll (afhængigt af arkitekturen) i hver beskyttet proces, som installerer Windows API-kroge (eksporterede funktioner af DLL'er som kernel32.dll, ntdll.dll og kernelbase.dll). Disse kroge giver værktøjets evne til at analysere eventuelle kodeopkald i kritiske API'er og finde ud af om de er legitime. Hvis det viser sig at være legitimt, hopper EMET-hooking kode tilbage i den anmodede API. Hvis ikke, udløser det en undtagelse.

Når det er sagt, eksisterer der en streng kode inden for EMET, der er ansvarlig for losning af EMET. Koden gør systematisk, at EMET mister hele sin beskyttelsesevne og returnerer programmet til dets oprindelige dvs. ubeskyttede tilstand.

A person simply needs to find and call this function to completely disable EMET. In EMET.dll v5.2.0.1, this function is located at offset 0x65813. Switching to this function of EMET tool results in subsequent calls, which remove EMET’s installed hooks.

One simply needs to locate and call this function to completely disable EMET,” FireEye researchers reported in a blogindlæg. “In EMET.dll v5.2.0.1, this function is located at offset 0x65813. Jumping to this function results in subsequent calls, which remove EMET’s installed hooks.”

What can be seen as of now is the exploit is a new attack vector that’s easier to employ than bypassing each of EMET’s individual protections as they were designed.

Et par måneder tilbage blev der også diskuteret en anden sårbarhed, der tillod angriberne omgå EMET med en enkelt instruktion. Ligesom den tidligere sårbarhed er den nuværende også blevet patched.

Da denne teknik er offentligt synlig, anbefales det, at EMET-brugere hurtigst muligt opgraderer til den seneste version for at undgå fremtidige angreb. I tillæg til Windows 10 kompatibilitet forbedrer den seneste EMET-version præstationen til EAF og EAF + -bekæmpelsen.

Efterlad en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.