Sicherheitslücke in EMET entdeckt

    FireEye-Spezialisten haben eine schwerwiegende Sicherheitslücke im EMET-Tool [ 1 , 2 , 3 , 4 , 5 , 6 , 7 ] entdeckt, mit dessen Hilfe Sie die Prozessschutzmechanismen einfach über die eigenen integrierten Funktionen deaktivieren können. Die Sicherheitsanfälligkeit ist in früheren Versionen von EMET vorhanden, d. H. In Versionen vor Version 5.5. Benutzern dieser Versionen wird empfohlen, EMET auf die neueste Version zu aktualisieren.



    EMET selbst unterstützt einen internen Mechanismus zum Entfernen von Interceptions aus den API-Funktionen von Systembibliotheken in geschützten Prozessen. Diese Funktion wird verwendet, wenn es notwendig ist, den Prozessschutz schnell zu deaktivieren. Die dynamische Bibliothek emet.dll ist für die Implementierung verantwortlich. Ein vollständiges Herunterfahren des Schutzes wird vom DllMain- Handler mit dem Entladecode DLL_PROCESS_DETACH implementiert. Da emet.dll die Funktion kernel32! GetModuleHandleW nicht abfängt und ihr Verhalten nicht steuert, reicht es aus, wenn der Shell-Code GetModuleHandleW aufruft , um die DLL-Ladeadresse im Speicher abzurufen und DllMain aufzurufen , wobei dieser Wert übergeben und die Konstante an die Funktionen entladen wird.

    Tatsächlich reicht der nächste Aufruf aus, um die Sicherheitsanfälligkeit auszunutzen.

    BOOL WINAPI DllMain (GetModuleHandleW ("EMET.dll"), DLL_PROCESS_DETACH, NULL);

    Die DllMain- Funktion ist der Einstiegspunkt in die Bibliothek. Wie jeder Einstiegspunkt behandelt auch die DLL verschiedene Ereignisse, wenn sie in den Prozess geladen und daraus entladen wird. Das erste Argument ist die Basisadresse des Bibliotheksladevorgangs, das zweite ist ein Ereignis und das dritte wird nicht verwendet.

    Als Demonstration der Sicherheitsanfälligkeit nahmen FireEye-Spezialisten einen veralteten RCE-Exploit für die CVE-2012-1876-Sicherheitsanfälligkeit und fügten Shellcode hinzu, um den Prozessschutz mithilfe des obigen Aufrufs zu deaktivieren. Der Exploit verwendet ROP-Techniken, um DEP zu umgehen. Nach dem Deaktivieren von EMET kann der Exploit seine Funktionen sicher ausführen.

    Dem US-CERT ist eine Sicherheitsanfälligkeit in EMET-Versionen (Microsoft Enhanced Mitigation Experience Toolkit) vor 5.5 bekannt. Die Ausnutzung dieser Sicherheitsanfälligkeit kann einem Remoteangreifer ermöglichen, EMET zu umgehen oder zu deaktivieren, um die Kontrolle über ein betroffenes System zu übernehmen.

    US-CERT empfiehlt Benutzern und Administratoren, das Microsoft Security TechCenter zu besuchen (Link ist extern) und auf EMET Version 5.5 zu aktualisieren. Weitere Informationen finden Sie im FireEye-Blog zur Bedrohungsforschung (link is external).

    www.us-cert.gov/ncas/current-activity/2016/02/23/Microsoft-Releases-Update-EMET

    Jetzt auch beliebt: