以已之道 还施彼身 微软EMET可被利用卸载自身保护功能
作者: 日期:2016年02月26日 阅:2,388

微软增强防御体验工具包(EMET)是一个面向企业的免费工具,可以使其 Windows 计算机和应用对于已知及未知的软件漏洞拥有更强的防御能力。然而,黑客能够轻松地让这一工具无效化。

640.webp (1)

来自安全厂商火眼的研究人员找到了一种方法,可以通过利用该工具中的某一合法函数,停止 EMET 的加强防御功能。

微软在2月2日发布的 EMET 5.5 中修补了这一漏洞,然而,由于这一新版本主要增加了对 Windows 10 的兼容性,没有带来明显的安全性能提升,可能还有很多用户并未升级这一功能。

EMET 最初发布于2009年,它可以对应用执行如数据执行防护(DEP)、地址空间布局随机化(ASLR)、导出表地址过滤(EAF)等现代化的漏洞防御机制,它对于没有附带此类机制的老应用而言尤其有效。通过使用这一工具,黑客将更难利用此类应用中的漏洞,入侵计算机。

近年来,安全研究人员找到了多种绕过特定 EMET 使用的防御机制的方法,但此工具中存在的这类漏洞主要是由设计和实现中的错误导致的,比如一些模块或 API 并未得到保护。过去也曾有完全使 EMET 保护无效化的报道,但它们往往并不直接,需要极大的工作量。

火眼研究人员相信这种利用 EMET 自身漏洞关闭它的方法更加可靠,而且比以往的绕过方式更加容易使用。此外,它能够针对所有 EMET 现行支持的版本:5.0、5.1和5.2,除了4.1等老版本和 EMET 5.5以外,所有版本都未能幸免。

EMET 将一些 DLL 注入到要保护的第三方应用程序进程中。因此它能够监控来自这些进程的关键系统 API 调用,并确定它们到底是合法调用,还是黑客入侵导致的。

然而,该工具包含的代码可能让其轻易卸载掉自身的保护功能,将被保护的进程还原为之前的样子,而不会造成任何异常或者崩溃。火眼人员发现的一个漏洞正可以利用 EMET 携带的这些代码。

“只需要确定这一函数的位置并进行调用,就能够使 EMET 完全无效化”。

在 EMET.dll 的5.2.0.1版本中,这一函数的相对地址为 0x65813 。跳到这一函数会引发调用,进而卸载 EMET 已经安装了的 hook 。

研究人员表示,这是一种重要的新型攻击向量,比起一个个绕过 EMET 的保护机制而言要方便得多。

由于这一入侵技巧现在已被公开,EMET 用户应当考虑尽快升级到5.5版本,避免未来出现的此类攻击。除了增加了 Windows 10 兼容性,EMET 的这一新版本改善了通过组策略配置和管理防御机制的能力,提升了 EAF 和 EAF+ 防御的性能表现。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章