Atacantes usan EMET de Microsoft en su contra

Share this…

Los cibercriminales pueden desactivar fácilmente el Enhanced Mitigation Experience Toolkit (EMET) de Microsoft, una herramienta gratuita utilizada por las empresas para reforzar sus equipos con Windows y sus aplicaciones contra ataques de software.

Los investigadores de la empresa de seguridad FireEye han encontrado un método a través del cual diferentes exploits pueden deshabilitar la protección que EMET brinda mediante el uso de una función legítima de la propia herramienta.

Microsoft corrigió el problema en EMET 5.5, que fue lanzado el dos de febrero. Sin embargo, lo más probable es que muchos usuarios aún no han actualizado dado que la nueva versión añade principalmente la compatibilidad con Windows 10 y no trae nuevas mitigaciones significativas.

Lanzado por primera vez en 2009, EMET puede cumplir con los mecanismos de mitigación de exploits modernos como prevención de ejecución de datos, espacio de direcciones aleatorio o filtro para exportar la tabla de direcciones de acceso a las aplicaciones, especialmente las heredadas, que fueron construidas sin ellos. Esto hace que sea mucho más difícil para los atacantes aprovechar las vulnerabilidades de las aplicaciones con el fin de poner en peligro los equipos.

Los investigadores de seguridad han descubierto varias formas de evitar algunos métodos de mitigación particulares de EMET en los últimos años, que fueron principalmente el resultado de errores de diseño e implementación, como algunos módulos o API que están quedando sin protección. Se han reportado anteriormente otros métodos para desactivar las protecciones EMET por completo, pero no siempre era algo sencillo y requerían un esfuerzo significativo.

Los investigadores de FireEye creen que su nueva técnica, que utiliza esencialmente a EMET contra sí mismo, es más fiable y fácil de usar que cualquier derivación publicada anteriormente. Además, funciona en contra de las versiones soportadas de EMET (5.0, 5.1 y 5.2) con la excepción de EMET 5.5 y también en las versiones que ya no son compatibles, como 4.1.

EMET inyecta algunos archivos DLL (bibliotecas de enlace dinámico) en los procesos de las aplicaciones de terceros para cuya protección está configurado. Esto le permite monitorear las llamadas de aquellos procesos a las API críticas del sistema y determinar si son legítimas o resultado de una vulnerabilidad.

Sin embargo, la herramienta también contiene código responsable de eliminar las mitigaciones de una manera limpia, regresando los procesos protegidos a su estado inicial sin causar daños o accidentes. Esta es la característica que los investigadores de FireEye han descubierto y encontraron la manera de ejecutarla desde un exploit.

“Simplemente hay que localizar y llamar a esta función para deshabilitar completamente a EMET”,dijeron en un blog el martes. “En EMET.dll v5.2.0.1 esta función se encuentra en la dirección de memoria 0x65813. Saltar a esta función da lugar a las llamadas posteriores, que eliminan los ganchos instalados de EMET”.

Este es un nuevo vector de ataque más fácil de usar que pasar por cada una de las protecciones individuales de EMET tal cual fueron diseñadas, dijeron.

Fuente:https://www.seguridad.unam.mx/