Do tej pory uważano EMET za najlepszy sposób zabezpieczeniaWindows, szczególnie jego starszych wersji, przed nowymi exploitami.I faktycznie, wiele ataków 0-day, których ofiarą padałyniezabezpieczone tak „okienka”, na maszynach z zainstalowanymEMET-em po prostu nie działało. W szczególności blokował onataki korzystające z nowej techniki return-oriented programming(ROP), w której wrogikod budowany jest dynamicznie z fragmentów kodu już uruchomionych,niezłośliwych aplikacji, by obejść w ten sposób zabezpieczeniaWindows takie jak ASLR i DEP. Nic więc dziwnego, że w mediach ITużytkownikom radzono, by EMET instalowali, tym bardziej, że byłdostępny do pobrania za darmo ze stron Microsoftu.
Co prawda kilku grupom badaczy udało się już wcześniejopracować metody obejścia poszczególnych zabezpieczeń EMET-u, alenikomu do tej pory nie udało się obejść ich wszystkich.Spróbowali dokonać tego badacze z Bromium Labs. Ich celem byłobliższe poznanie ograniczeń zestawu narzędzi Microsoftu, by daćświadomym użytkownikom czas na opracowanie skuteczniejszychstrategii obronnych. Ich starania przyniosły owoce: odkryli, żefaktycznie, EMET bardzo dobrze radzi sobie z blokowaniem atakówuszkodzenia pamięci – ale jeśli napastnik ma odpowiednią wiedzętechniczną, to i na to znajdzie się sposób.
Podczas zakończonej wczoraj konferencji Security BSides, głównybadacz firmy Jared DeMott przedstawił prezentację, wyjaśniającą,jak udało się obejść zabezpieczenia ASLR, DEP i SEHOP (ochronyprzed przepełnieniem bufora), jak przeprowadzić mimo EMET-u atakiROP czy rozpylania sterty. Majstrując przy jednym z lepiej znanychexploitów dla Internet Explorera, zdołali go w końcu tak poprawić,że uruchomił się na Windows z EMET-em, pozwalając im nauruchomienie wrogiego kodu. Cała ta wiedza znalazła się wpublikacji BypassingEMET 4.1, udostępnionej wcześniej Microsoftowi.
DeMott stwierdził, że badania jego zespołu dowodzą, żerozwiązania ochronne, które działają na tym samym poziomieuruchomienia, co potencjalnie złośliwy kod, nie mogą być zbytskutecznymi zabezpieczeniami. Nie mają one bowiem „przewagiwysokości”, jaką cieszy się kod uruchamiany pod ochroną jądraczy hiperwizora.
Osiągnięcie Bromium Labs pozwoli na znaczne ulepszenie kolejnej,piątej wersji EMET-a. Microsoft nawet zaoferował, że nazwiskabadaczy pojawią się w tym wydaniu. Jej prezentacja nastąpi ladadzień, w trakcie trwającej od wczoraj RSA Conference. Osobomkorzystającym z EMET-a zalecamy więc jego szybkie zaktualizowanie,gdyż twórcy exploitów na pewno nie zignorują wyników badańzespołu DeMotta.
