Обход EMET в подсистеме Windows Wow64

by Опубликовано

Одна из самых сильных сторон операционной системы Windows — обратная совместимость. Многие классические программы эпохи DOS или ранних дней Windows все еще нормально работают в современных версиях Windows.

Наряду с сильной стороной возникает и слабость, поскольку эксплойты могут быть нацелены на эти устаревшие системы.

Исследователи из Duo Security обнаружил проблему в наборе инструментов Microsoft Enhanced Mitigation Experience Toolkit (EMET), которая позволяет им обходить защиту, которую он добавляет в систему, с помощью WoW64 уровень совместимости, обеспечиваемый 64-битными версиями Windows.

WoW, или Windows в Windows, позволяет запускать 32-битные приложения на 64-битных машинах. В то время как большинство систем Windows в наши дни представляют собой 64-битные машины, многие программы, работающие на этих машинах, не работают.

WoW64 является частью всех 64-разрядных версий Windows, включая Windows 7, Windows 8.1 и Windows 10, а также всех серверных выпусков операционной системы.

Подсистема WoW64 включает легкий уровень совместимости, который имеет аналогичные интерфейсы во всех 64-битных версиях Windows. Он направлен на создание 32-битной среды, которая предоставляет интерфейсы, необходимые для запуска неизмененных 32-битных приложений Windows в 64-битной системе.

Например, для веб-браузеров исследователи обнаружили, что 80% по-прежнему 32-битные процессы, которые выполняются на 64-битном хост-компьютере, 16% — это 32-битные процессы, выполняемые на 32-битных хостах, и только 4% истинно 64-битных. битовые процессы (на основе недельной выборки данных аутентификации браузера для уникальных систем Windows).

emet 4.0

Один из основных выводов заключался в том, что EMET смягчения гораздо менее эффективны в подсистеме Wow64, и это изменение потребует серьезных изменений в работе EMET.

Исследователи осведомлены о том, что меры по смягчению последствий EMET были раскрыты ранее, но большинство из них занимается обходом мер по отдельности. Их метод, с другой стороны, позволяет им обходить выполнение всех полезных данных / шелл-кода и связанных с ROP смягчений «универсальным, независимым от приложений способом, используя уровень совместимости WoW64, предоставляемый в 64-битных версиях Windows».

Исследовательская работа доступна в формате PDF. Вы можете скачать его с Duo Security сайт напрямую.

Вам, наверное, интересно, что такое еда на вынос. Исследователи предлагают использовать собственные 64-битные приложения всякий раз, когда доступны 32-битные и 64-битные версии программы.

Основная причина этого в том, что 64-битные двоичные файлы предлагают преимущества безопасности и делают «некоторые аспекты эксплуатации более сложными».

EMET по-прежнему рекомендуется исследователями, поскольку он «продолжает поднимать планку для эксплуатации» и «по-прежнему является важной частью стратегии глубокоэшелонированной защиты».

Теперь ваша очередь : Вы запускаете EMET или другое программное обеспечение для защиты от угроз в Windows?

Смотрите так же:

  1. Сотрудничайте с Abiword
  2. Резервное копирование с помощью Deja Dup
  3. Как сделать резервную копию данных True Crypt, чтобы быть готовым к чрезвычайным ситуациям
  4. Firefox 52: как продолжать использовать плагины

Опубликовано