Zabezpieczenia EMET 4.1 rozbrojone, exploit udostępniony w Sieci
Niejednokrotnie już polecaliśmy użytkownikom Windows stosowaniestworzonego przez Microsoft zestawu narzędzi rozszerzonegośrodowiska ograniczającego ryzyko (EMET), dzięki któremu wielecyberataków, które radzą sobie ze standardowymi zabezpieczeniamisystemu, staje się nieskutecznych. Skuteczność EMET-u sprawiajednak, że budzi on spore zainteresowanie ekspertów odbezpieczeństwa, zarówno whitehatów jak i blackhatów. W lutym tegoroku zestaw narzędzi zostałrozbrojony przez hakerów z Bromium Labs, jednak dali oniMicrosoftowi czas na przygotowanie się i zabezpieczenie przed ichmetodą ataku. Teraz sytuacja jest bardziej skomplikowana: w Siecipojawił się gotowy exploit, który deaktywuje i obchodzi wszystkiezabezpieczenia aktualnej wersji EMET 4.1 update 1.
Dzieło badaczy z grupy Offensive Security jest inspirowane pracąz Bromium Labs, których artykuł BypassingEMET 4.1 wywołał spore zainteresowanie w branży. Jako jednakże przedstawione tam metody skupiały się na obchodzeniuzabezpieczeń EMET-u, zdecydowali się oni pójść inną drogą iskupić na znalezieniu sposobu na rozbrojenie microsoftowegonarzędzia.
Rozbrojenie jest dla twórców exploitów bardziej użyteczne niżobejście, gdyż pozwala im na korzystanie ze zwykłego shellcodu,np. generowanego przez Metasploita. Dzięki możliwości wyłączeniawszystkich zabezpieczeń ułatwia też prace programistyczne nadexploitem, szczególnie jeśli wykorzystuje on techniki ROP(Return-Oriented Programming), w których exploit jest „składany”z fragmentów działającego już na maszynie kodu.
Dokładny opis swoich starań eksperci przedstawili na łamachblogagrupy. Kod exploitu został wgranydo Sieci, przygotowano też demonstrację ataku na InternetExplorera, skutecznego pomimo włączonych zabezpieczeń EMET (przyustawieniach zalecanych). Możecie ją obejrzeć na poniższym wideo(najlepiej z włączonym dźwiękiem).
Offensive Security podkreśla, że Microsoft prawdopodobnie zdajesobie sprawę z takich metod ataku i zabezpieczył się przed nimi wprzygotowywanym obecnie EMET 5 (dostępnym obecnie jako TechnicalPreview). Podczas najbliższej konferencji Black Hat w Las Vegasbadacze chcą jednak zademonstrować atak wymierzony w wersję piątątego zestawu narzędzi. Jak widać, zabawa w kotka i myszkę trwanadal.
