r   e   k   l   a   m   a
r   e   k   l   a   m   a

Wszystkie zabezpieczenia EMET pokonane, Microsoft wdzięczny za to osiągnięcie

Strona główna AktualnościOPROGRAMOWANIE

Gdy na początku lutego HP, jeden z głównych sponsorów hakerskiego konkursu pwn2own ogłosił rozpoczęcie sezonu polowań na jednorożce, czyli konkurencję, w której za złamanie zabezpieczeń microsoftowego zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET) zdobyć można było 150 tys. dolarów, nikt chyba się nie spodziewał, że EMET zostanie pokonany jeszcze przed konkursem. Dokonali tego badacze z Bromium Labs, obchodząc wszystkie zabezpieczenia oferowane przez ten zestaw narzędzi.

Do tej pory uważano EMET za najlepszy sposób zabezpieczenia Windows, szczególnie jego starszych wersji, przed nowymi exploitami. I faktycznie, wiele ataków 0-day, których ofiarą padały niezabezpieczone tak „okienka”, na maszynach z zainstalowanym EMET-em po prostu nie działało. W szczególności blokował on ataki korzystające z nowej techniki return-oriented programming (ROP), w której wrogi kod budowany jest dynamicznie z fragmentów kodu już uruchomionych, niezłośliwych aplikacji, by obejść w ten sposób zabezpieczenia Windows takie jak ASLR i DEP. Nic więc dziwnego, że w mediach IT użytkownikom radzono, by EMET instalowali, tym bardziej, że był dostępny do pobrania za darmo ze stron Microsoftu.

Co prawda kilku grupom badaczy udało się już wcześniej opracować metody obejścia poszczególnych zabezpieczeń EMET-u, ale nikomu do tej pory nie udało się obejść ich wszystkich. Spróbowali dokonać tego badacze z Bromium Labs. Ich celem było bliższe poznanie ograniczeń zestawu narzędzi Microsoftu, by dać świadomym użytkownikom czas na opracowanie skuteczniejszych strategii obronnych. Ich starania przyniosły owoce: odkryli, że faktycznie, EMET bardzo dobrze radzi sobie z blokowaniem ataków uszkodzenia pamięci – ale jeśli napastnik ma odpowiednią wiedzę techniczną, to i na to znajdzie się sposób.

r   e   k   l   a   m   a

Podczas zakończonej wczoraj konferencji Security BSides, główny badacz firmy Jared DeMott przedstawił prezentację, wyjaśniającą, jak udało się obejść zabezpieczenia ASLR, DEP i SEHOP (ochrony przed przepełnieniem bufora), jak przeprowadzić mimo EMET-u ataki ROP czy rozpylania sterty. Majstrując przy jednym z lepiej znanych exploitów dla Internet Explorera, zdołali go w końcu tak poprawić, że uruchomił się na Windows z EMET-em, pozwalając im na uruchomienie wrogiego kodu. Cała ta wiedza znalazła się w publikacji Bypassing EMET 4.1, udostępnionej wcześniej Microsoftowi.

DeMott stwierdził, że badania jego zespołu dowodzą, że rozwiązania ochronne, które działają na tym samym poziomie uruchomienia, co potencjalnie złośliwy kod, nie mogą być zbyt skutecznymi zabezpieczeniami. Nie mają one bowiem „przewagi wysokości”, jaką cieszy się kod uruchamiany pod ochroną jądra czy hiperwizora.

Osiągnięcie Bromium Labs pozwoli na znaczne ulepszenie kolejnej, piątej wersji EMET-a. Microsoft nawet zaoferował, że nazwiska badaczy pojawią się w tym wydaniu. Jej prezentacja nastąpi lada dzień, w trakcie trwającej od wczoraj RSA Conference. Osobom korzystającym z EMET-a zalecamy więc jego szybkie zaktualizowanie, gdyż twórcy exploitów na pewno nie zignorują wyników badań zespołu DeMotta.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.