Microsoft EMET đã bị vượt qua hoàn toàn

Ngày hôm nay (24/2/2014), các nhà nghiên cứu tại Bromium Labs dự kiến ​​sẽ công bố việc họ đã phát triển một bản khai thác có thể vượt qua tất cả các biện pháp bảo vệ trong Microsoft’s Enhanced Mitigation Experience Toolkit (EMET).

Nhà nghiên cứu Jared DeMott được lên kế hoạch để trình bày tại hội nghị an ninh BSides vào sáng nay để giải thích cách các nhà nghiên cứu của công ty có thể vượt qua tất cả những biện pháp bảo vệ bộ nhớ cung cấp trong bộ công cụ miễn phí EMET. Đây là một việc làm rất có ý nghĩa trong khoảng thời gian hiện tại, khi mà Microsoft đã và đang nhanh chóng thúc giục các khách hàng cài đặt và chạy EMET như một biện pháp tạm thời nhằm giảm nhẹ tác hại của các zero-day nhắm vào mục tiêu là các lỗ hổng về bộ nhớ trong Windows hoặc Internet Explorer. EMET có nhiệm vụ chấm dứt hoặc ngăn chặn hành động của các phần mềm độc hại và việc khai thác lỗ hổng bảo mật không được báo trước cho đến khi một bản vá cho lỗ hổng đó xuất hiện. Microsoft dự kiến ​​sẽ phát hành phiên bản mới nhất của EMET tại Hội nghị RSA trong tuần này. Rahul Kashyap, kiến ​​trúc sư an ninh trưởng tại Bromium cho biết công ty đã làm việc chặt chẽ với Microsoft và hy vọng lỗ hổng sẽ được giải quyết trong phiên bản EMET mới. Kashyap nói bản khai thác của Bromium Labs đã vượt qua tất cả các biện pháp bảo vệ EMET, không giống như các bản khai thác trước đó chỉ có thể đánh bại một số tính năng của nó. “Chúng tôi đã phân tích tất cả các biện pháp bảo vệ và sử dụng một bản khai thác của trình duyệt IE, sau đó chúng tôi tiếp tục tinh chỉnh các thông số trong bản khai thác đó cho đến khi có thể vượt qua tất cả các biện pháp bảo vệ có sẵn trong EMET” Kashyap nói. “Tất cả mọi thứ trong phiên bản mới nhất của EMET đã bị vượt qua.” “Nghiên cứu này cho thấy rằng công nghệ hoạt động trên cùng một mặt bằng như các mã độc” DeMott viết.”Điều này đúng với EMET và các biện pháp bảo vệ tương tự khác.” EMET đã bị vượt qua rất nhiều lần trước đây. Nhà nghiên cứu Aaron Portnoy , người đồng sáng lập của Exodus Intelligence, đã trình bày một bài báo trong SummerCon năm ngoái giải thích một số tính năng của EMET bị vượt qua. Hai năm trước, một nhà nghiên cứu ở Iran tên là Shahriyar Jalayeri đã công bố việc vượt qua 2 trong 5 tính năng ROP protections của EMET. Chúng ta có thể mong đợi các nhà nghiên cứu tiếp tục cố gắng để khai thác lỗ hổng trong EMET. Cuộc thi Pwn2Own sắp tới tại Hội nghị CanSecWest được cung cấp một giải thưởng lớn $ 150,000 cho bất cứ ai có thể vượt qua EMET chạy trên Windows 8.1 và Internet Explorer 11.

Các bạn có thể tìm đọc kỹ thuật khai thác tại: http://bromiumlabs.files.wordpress.com/2014/02/bypassing-emet-4-1.pdf

Nguồn: threatpost.com