Исследователи компании FireEye обнаружили, что тулкит EMET (Enhanced Mitigation Experience Toolkit), который должен защищать пользователей Windows от малвари и эксплуатации багов, на деле можно обойти, обратив его против самого себя.
Специалисты FireEye пишут, что данная проблема точно распространяется на версии 4.1, 5.1, 5.2, 5.2.0.1 (другие версии не проверялись), но отсутствует в последнем релизе 5.5, где Microsoft уже устранила уязвимость. Впрочем, исследователи отмечают, что версия 5.5, для которой был представлен патч, все равно не может считаться полностью безопасной, так как реализация новой атаки все равно возможна.
Проблема заключается в том, что специалисты FireEye обнаружили в составе EMET кусок кода, который позволяет отключить EMET вообще. Как только хакер запустил исполнение кода в каком-либо приложении, он может вызвать функцию EMET, которая приведет к отключению EMET-защиты.
«Данный код систематический отключает защиту EMET и возвращает программу к предыдущему незащищенному состоянию, — пишут исследователи. — Нужно только найти и вызывать функцию полного отключения EMET».
Фактически, это атака на EMET обращает его против себя самого. Исследователи отмечают, что данный метод значительно проще реализовать на практике, чем другие способы обхода или отключения EMET, предложенные ранее.
С подробным отчетом специалистов можно ознакомиться здесь.
Фото: Corbis
