安全公司Bromium的研究人员今天透露,他们发现了绕过Microsoft增强缓解经验工具包(EMET)的方法。EMET旨在为应用程序提供额外的安全层,以降低利用风险。尽管EMET阻止了许多攻击者的子弹进入应用程序,但Bromium现在断言EMET并不是防弹的。
Bromium首席安全架构师和研究负责人Rahul Kashyap告诉eWEEK,Bromium在EMET研究方面已经与Microsoft联系了几个月,并且Microsoft同行评审了Bromium的研究。
Kashyap说,Bromium的研究表明可以绕开EMET中的所有保护措施。他说:“通过100%旁路,我们意味着EMET的所有保护均已启用,而我们绕过了它们。
Bromium的EMET研究的重点之一是研究释放后使用的内存损坏问题。释放后使用的内存损坏错误是所有浏览器供应商中最常修复的缺陷之一。在释放后使用内存的情况下,攻击者可能会利用合法分配的内存作为发起漏洞利用的基础。
Kashyap表示,这项研究不仅是理论上的,并补充说,公司发现绕过EMET的技术实际上可以被攻击者转变为武器。Kashyap指出,在Bromium的研究论文中,已利用Microsoft Internet Explorer(IE)Web浏览器中的“先用后用” 漏洞进行了修补,以利用该漏洞绕过所有EMET保护。
Kashyap说,Bromium不会公开发布任何漏洞利用代码。
根据Bromium的研究,像EMET这样的技术与潜在的恶意代码在同一执行平面上运行,几乎没有持久的保护。Kashyap解释说,这基本上意味着EMET试图基于已知的利用媒介来检测利用。该已知漏洞利用向量通常采用攻击者使用的面向返回的编程(ROP)技术的形式。ROP攻击会重用现有代码来绕过操作系统的内存保护。
卡希普说,到某个时候,攻击者会想出新的利用手段绕过防御机制。“因此,插入所有这些利用媒介成为一项挑战。”
EMET并不是微软当前武器库中防御攻击的唯一工具。EMET的前身还有地址空间布局随机化(ASLR)和数据执行保护(DEP)技术。Kashyap说,EMET绝对比ASLR / DEP更先进。
Kashyap说:“今天,我们在野外遇到的几乎所有零日恶意软件都能够绕过ASLR / DEP。” “微软一直建议将EMET作为缓解这些威胁的缓解工具,它似乎在大多数情况下都有效。”
尽管Bromium能够证明可以绕开EMET,但Kashyap强调EMET是一个很好的有用工具。
Kashyup说:“在恶意软件作者发现漏洞之前,我们只需要作为社区一起不断改进它即可。” “我们认为,微软正在采取正确的步骤来改善他们的保护。我们都只需要继续保持合作。”
