Microsoft Enhanced Mitigation Experience Toolkit (EMET) — программное обеспечение, которое эффективно защищает приложения под Windows от воздействия эксплойтов. Однако, если хорошо разобраться в методах работы этой программы, то встроенную защиту можно обойти. Исследователи из компании Bromium Labs объясняют, как это делается.
«В частности, в EMET используется специальные методы защиты (только для 32-битных процессов) против относительно новой хакерской техники, известной как ROP (обратно-ориентированное программирование), — пишет Bromium Labs. — ROP-эксплойты популярны для обхода защиты ALSR+DEP. Многие из обнаруженных зловредов за последний год использовали тот или иной вариант техник ROP. В EMET также применяются и другие эффективные способы защиты (как форсированный ASLR и DEP), но многие из них сами по себе есть в последней версии операционной системы Windows 8.1. Таким образом, EMET больше нацелен на защиту старых ОС, вроде Windows XP».
Компания Bromium Labs изучила уязвимые места EMET 4.1 — и обнаружила, что все 12 методов защиты EMET можно обойти с помощью эксплуатации бага CVE-2012-4969 в Internet Explorer. Есть даже готовый модуль Metasploit для этого, хотя он и блокируется EMET, но его можно модифицировать.
Подробнее об эксплойте см. в техническом отчете “Bypassing EMET 4.1” (зеркало). Компания Microsoft оказывала помощь в работе Bromium Labs — и заблаговременно получила информацию о результатах. Вероятно, она попросили не публиковать описание эксплойта в открытом доступе, пока не выпустит новую версию EMET.
Сразу же после публикации отчета Microsoft анонсировала версию EMET 5.0 с двумя новыми защитными механизмами.
Новые методы защиты называются Attack Surface Reduction (ASR) и Export Address Table Filtering Plus (EAF+). Первый из них предусматривает настройки для ограничения функциональности отдельных программ.
Например, администратор может запретить программе Microsoft Word обращаться к плагину Adobe Flash Player.
Реализована поддержка зон безопасности, так что Internet Explorer, к примеру, можно настроить на исполнение апплетов Java только из внутренних доменов корпоративной сети, но не из интернета.
EAF+ защищает низкоуровневые модули от некоторых техник, которые используются для построения динамических ROP-конструкций в памяти из таблиц.
Скачать EMET 5.0 Technical Preview можно здесь.
