EMET виявлена уразливість

Фахівці компанії FireEye виявили серйозну прогалину безпеки в інструменті EMET [1,2,3,4,56,7], яка дозволяє досить просто відключити його механізми захисту процесів з використанням його ж вбудованих функцій. Уразливість присутнє у версіях EMET, тобто у версіях актуальною 5.5. Користувачам цих версій рекомендується оновити EMET до останньої версії.



Сам EMET підтримує внутрішній механізм зняття перехоплень з API-функцій системних бібліотек у захисних процесах. Ця функція застосовується в тому випадку, коли потрібно оперативно відключити захист процесу, за реалізацію якої відповідає динамічна бібліотека emet.dll. Повне відключення захисту реалізується обробником DllMain з кодом вивантаження DLL_PROCESS_DETACH. В силу того, що emet.dll не перехоплює функцію kernel32!GetModuleHandleW і не контролює її поведінку, шелл-кодом досить викликати GetModuleHandleW для отримання адреси завантаження DLL в пам'яті і викликати DllMain, передавши функції це значення і константу вивантаження.

По суті, для експлуатації уразливості досить наступного виклику.

BOOL WINAPI DllMain (GetModuleHandleW(«EMET.dll»), DLL_PROCESS_DETACH, NULL);

Функція DllMain є точкою входу в бібліотеку і як будь-яка точка входу DLL обробляє різні події при завантаженні її процес та вивантаження з неї. Першим аргументом їй передається базовий адресу завантаження бібліотеки, другий являє собою подію, а третій не використовується.

В якості демонстрації уразливості, фахівці FireEye взяли застарілий RCE-експлойт для уразливості CVE-2012-1876 і додали до нього шелл-код для відключення захисту процесу з використанням вищезгаданого виклику. Для обходу DEP експлойт використовує прийоми ROP. Після відключення EMET, експлойт може спокійно виконувати свої функції.

US-CERT is aware of a vulnerability in Microsoft Enhanced Mitigation Experience Toolkit (EMET) versions prior to 5.5. Exploitation of this vulnerability may allow a remote attacker to bypass or disable EMET to take control of an affected system.

US-CERT recommends users and administrators visit the Microsoft Security TechCenter (link is external) and upgrade to EMET version 5.5. For additional information, please review the FireEye threat research blog (link is external)
www.us-cert.gov/ncas/current-activity/2016/02/23/Microsoft-Releases-Update-EMET

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.