У Майкрософт EMET виявлена уразливість

Фахівці компанії FireEye виявили серйозну прогалину безпеки в інструменті EMET, яка дозволяє досить просто відключити його механізми захисту процесів з використанням його ж вбудованих функцій. Уразливість присутнє у багатьох версіях EMET, навіть у актуальній версії 5.5 і нижче. Користувачам цих версій рекомендується оновити EMET до останньої версії.

У Майкрософт EMET виявлена уразливістьСам EMET підтримує внутрішній механізм зняття перехоплень з API-функцій системних бібліотек у захисних процесах. Ця функція застосовується в тому випадку, коли потрібно оперативно відключити захист процесу, за реалізацію якої відповідає динамічна бібліотека emet.dll. Повне відключення захисту реалізується обробником DllMain з кодом вивантаження DLL_PROCESS_DETACH. В силу того, що emet.dll не перехоплює функцію kernel32!GetModuleHandleW і не контролює її поведінку, шелл-кодом досить викликати GetModuleHandleW для отримання адреси завантаження DLL в пам’яті і викликати DllMain, передавши функції це значення і константу вивантаження.

По суті, для експлуатації уразливості досить наступного виклику.

BOOL WINAPI DllMain (GetModuleHandleW(«EMET.dll»), DLL_PROCESS_DETACH, NULL);

Функція DllMain є точкою входу в бібліотеку і як будь-яка точка входу DLL обробляє різні події при завантаженні її процес та вивантаження з неї. Першим аргументом їй передається базовий адресу завантаження бібліотеки, другий являє собою подію, а третій не використовується.

В якості демонстрації уразливості, фахівці FireEye взяли застарілий RCE-експлойт для уразливості CVE-2012-1876 і додали до нього шелл-код для відключення захисту процесу з використанням вищезгаданого виклику. Для обходу DEP експлойт використовує прийоми ROP. Після відключення EMET, експлойт може спокійно виконувати свої функції.

US-CERT recommends users and administrators visit the Microsoft Security TechCenter (link is external) and upgrade to EMET version 5.5. For additional information, please review the FireEye threat research blog (link is external)
www.us-cert.gov/ncas/current-activity/2016/02/23/Microsoft-Releases-Update-EMET

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*