Специалисты компании Duo Security обнаружили способ обхода специализированного ПО Microsoft EMET, предназначенного для предотвращения атак на оперативную память. Обойти EMET возможно путем эксплуатации ошибки в подсистеме WoW64 – компоненте ОС Windows, позволяющем запускать 32-битные приложения на 64-битных версиях операционной системы.
Для того чтобы выполнить обход ограничений безопасности, исследователи использовали модифицированную версию эксплоита для уязвимости использования после высвобождения в Adobe Flash. В своем блоге эксперты отметили, что под управлением WoW64 32-битные приложения работают иначе, чем на нативных 32-битных системах. Эксплуатация уязвимости возможна во время переключения процессора между разными режимами в ходе исполнения программы.
Подсистема WoW64 значительно затрудняет вызов низкоуровневых функций для защитного ПО из пространства пользователя, что является одним из самых важных ограничений подсистемы. В Windows отсутствует “официальный” механизм для интеграции 64-битных модулей в 32-битные процессы, и значительная часть функционала API, контролируемого EMET, реализована в отдельной 64-битной копии ntdll.dll.
По версии исследователей, злоумышленник может перевести процессор в длительный режим, после чего определить размещение 64-битных модулей и их функций и обойти ограничения 64-битных API. Это позволит ему миновать используемые защитным ПО хуки. EMET привязан к ntdll.dll – библиотеке, обеспечивающей используемые приложениями низкоуровневые функции. По свидетельству Duo Security, в 64-битной версии библиотеки отсутствуют хуки в необходимых местах.
Эксперты отметили, что исправить ситуацию возможно лишь в случае внесения значительных архитектурных правок в часть Windows, отвечающую за поддержку устаревшего ПО. Поскольку это может привести к значительным проблемам с совместимостью, Microsoft вряд ли решится на столь радикальные шаги. Тем не менее, специалисты передали компании все материалы исследования и функциональный эксплоит. (Duo Security/NovostIT)