Kõikide Windowsi Probleemide Ja Muude Programmide Lahendamine

Ründajad võivad pöörata Microsofti kaitsevahendi EMET enda vastu

Häkkerid saavad hõlpsasti keelata Microsoft Enhanced Mitigation Experience Toolkit (EMET), tasuta tööriista, mida ettevõtted kasutavad oma Windowsi arvutite ja rakenduste tugevdamiseks tarkvara ärakasutamise vastu.

Turvamüüja FireEye teadlased on leidnud meetodi, mille abil ekspluateerimine saab EMET-i rakendatud kaitset maha laadida, kasutades tööriista enda seaduslikku funktsiooni.



Microsoft parandas probleemi EMET 5.5 -s, mis oli avaldati 2. veebruaril . Siiski on tõenäoline, et paljud kasutajad pole veel uuendanud, sest uus versioon lisab peamiselt ühilduvuse Windows 10 -ga ega too kaasa uusi olulisi leevendusi.



Esmakordselt 2009. aastal avaldatud EMET saab rakendada kaasaegseid ärakasutamise leevendamise mehhanisme, nagu andmete täitmise vältimine, aadressiruumi paigutuse juhuslikustamine või aadressitabeli juurdepääsu filtreerimine rakendustesse, eriti pärandrakendustesse, mis on loodud ilma nendeta. See muudab ründajatel arvutite ohustamiseks nende rakenduste turvaaukude kasutamise palju raskemaks.

Turvauurijad on aastate jooksul leidnud mitmeid viise, kuidas teatud EMET-i rakendatud leevendustest mööda minna, kuid need olid peamiselt projekteerimis- ja rakendamisvigade tagajärg, näiteks mõned moodulid või API-d jäeti kaitsmata. Varem on teatatud ka meetoditest EMET -kaitse täielikuks keelamiseks, kuid need ei olnud alati lihtsad ja nõudsid märkimisväärseid jõupingutusi.



FireEye teadlased usuvad, et nende uus tehnika, mis sisuliselt kasutab EMET -i enda vastu, on usaldusväärsem ja hõlpsamini kasutatav kui kõik varem avaldatud ümbersõidud. Lisaks töötab see kõigi EMETi toetatud versioonide - 5.0, 5.1 ja 5.2 - vastu, välja arvatud EMET 5.5, ja ka versioonide puhul, mida enam ei toetata, näiteks 4.1.

EMET süstib mõned DLL-id (dünaamiliste linkide teegid) kolmandate osapoolte rakendusprotsessidesse, mida see on konfigureeritud kaitsma. See võimaldab tal jälgida nende protsesside kõnesid kriitilistele süsteemi API -dele ja teha kindlaks, kas need on seaduslikud või ekspluateerimise tulemus.

Tööriist sisaldab aga ka koodi, mis vastutab leevenduste puhta mahalaadimise eest, tagastades kaitstud protsessid algolekusse, põhjustamata tõrkeid või krahhe. FireEye teadlased on selle funktsiooni välja mõelnud, kuidas ärakasutamisest käivitada.



'EMETi täielikuks keelamiseks tuleb see funktsioon lihtsalt üles leida ja helistada,' ütlesid nad ajaveebi postitus Teisipäev. 'EMET.dll v5.2.0.1 puhul asub see funktsioon nihkega 0x65813. Sellele funktsioonile hüppamine toob kaasa järgnevad kõned, mis eemaldavad EMETi paigaldatud konksud. '

Nad ütlesid, et see on märkimisväärne uus rünnakuvektor, mida on lihtsam kasutada, kui mööda minna igast EMETi individuaalsest kaitsest.

Kuna see tehnika on nüüd avalik, peaksid EMETi kasutajad kaaluma versioonile 5.5 üleminekut niipea kui võimalik, et vältida tulevasi rünnakuid, mis võivad selle kasutusele võtta. Lisaks Windows 10 ühilduvusele parandab see uus EMET -versioon kaitsete konfigureerimist ja haldamist grupipoliitika kaudu ning parandab EAF ja EAF+ leevenduste toimivust.