Обнаружен способ обхода EMET на 64-битных системах

Обнаружен способ обхода EMET на 64-битных системах

Ошибка в подсистеме Windows позволяет обойти ограничения безопасности.

image

Специалисты компании Duo Security обнаружили способ обхода специализированного ПО Microsoft EMET, предназначенного для предотвращения атак на оперативную память. Обойти EMET возможно путем эксплуатации ошибки в подсистеме WoW64 – компоненте ОС Windows, позволяющем запускать 32-битные приложения на 64-битных версиях операционной системы.

Для того чтобы выполнить обход ограничений безопасности, исследователи использовали модифицированную версию эксплоита для уязвимости использования после высвобождения в Adobe Flash. В своем блоге эксперты отметили, что под управлением WoW64 32-битные приложения работают иначе, чем на нативных 32-битных системах. Эксплуатация уязвимости возможна во время переключения процессора между разными режимами в ходе исполнения программы.

Подсистема WoW64 значительно затрудняет вызов низкоуровневых функций для защитного ПО из пространства пользователя, что является одним из самых важных ограничений подсистемы. В Windows отсутствует «официальный» механизм для интеграции 64-битных модулей в 32-битные процессы, и значительная часть функционала API, контролируемого EMET, реализована в отдельной 64-битной копии ntdll.dll.

По версии исследователей, злоумышленник может перевести процессор в длительный режим, после чего определить размещение 64-битных модулей и их функций и обойти ограничения 64-битных API. Это позволит ему миновать используемые защитным ПО хуки. EMET привязан к ntdll.dll – библиотеке, обеспечивающей используемые приложениями низкоуровневые функции. По свидетельству Duo Security, в 64-битной версии библиотеки отсутствуют хуки в необходимых местах.

Эксперты отметили, что исправить ситуацию возможно лишь в случае внесения значительных архитектурных правок в часть Windows, отвечающую за поддержку устаревшего ПО. Поскольку это может привести к значительным проблемам с совместимостью, Microsoft вряд ли решится на столь радикальные шаги. Тем не менее, специалисты передали компании все материалы исследования и функциональный эксплоит.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle