Исследователи FireEye Абдулалла Альсахил (Abdulellah Alsaheel) и Раджав Панде (Raghav Pande) обнаружили способ обхода Microsoft EMET – программного комплекса для предотвращения эксплуатации уязвимостей в ПО. Как выяснилось, EMET можно обойти с помощью самого же EMET.
По словам исследователей, в EMET присутствует функция, позволяющая отключить защиту, предоставляемую утилитой. Получив возможность выполнить произвольный код внутри защищенного приложения, хакер может вызвать данную функцию и обойти EMET.
“Код систематически отключает средства защиты EMET и возвращает приложение в незащищенное состояния. Необходимо лишь найти и вызвать необходимую функцию”, – сообщили специалисты в блоге EMET.
Более ранние методы обхода EMET обычно эксплуатировали отсутствующие функции или уязвимости в утилите. Исследователям удалось полностью отключить защиту, использовав одну из встроенных функций программы с применением метода возвратно-ориентированного программирования. Проблема была исправлена в EMET 5.5, вышедшей в начале февраля нынешнего года. (Microsoft/NovostIT)