Emet Microsoft

2009 lanserade Microsoft Enhanced Mitigation Experience Toolkit, Emet. Ett gratisverktyg riktat till företag för att ge Windowsdatorer och applikationer extra skydd mot sårbarheter i mjukvaran. Nu har säkerhetsexperter på Fireeye hittat sätt att slå ut skydd som verkställts av verktyget, genom att utnyttja en funktion i själva verktyget.
 
När Emet kopplas upp med de applikationer som ska skyddas kan den lägga till olika mekanismer som ska begränsa de sårbarheter som kan finnas. Moderna mekanismer som kanske saknas i applikationerna från början. Poängen med det är så klart att det ska bli svårare för hackare att utnyttja säkerhetshål.

Läs också: Virtuell server eller container – vad är egentligen bäst? Vi har testat.
 
Emet använder DLL-filer i de applikationer som ska skyddas när de körs. Det gör att informationen till de kritiska systemens api:er kan övervakas och avgöra om den är legitim eller är ett resultat av attack.
 
Verktyget innehåller också kod som ska se till att processerna återförs till det ursprungliga tillståndet utan att orsaka fel eller systemet krashar. Detta är funktionen som säkerhetsexperterna sett att man kan utnytta.
 
”Man behöver egentligen bara lokalisera och anropa den här funktionen för helt slå ut Emet. I EMET.dll v5.2.0.1, ligger funktionen offset 0x6513. Att hoppa på den här funktionen resulterar i påföljande anrop, som tar bort Emets installerade krokar”, skriver de i ett blogginlägg.
 
Det är en helt ny typ av attack skriver de och den gör det lättare att komma runt varje enskilt skydd som Emet bygger upp.

Läs också: Nu flyttar databasen in i molnet – men det sker inte helt utan problem
 
Microsoft har lagat hålet i en ny version, Emet 5.5, som släpptes i den 2 februari. Men den nya versionen lägger främst till kompatibilitet med Windows 10 vilket gör att kanske inte så många uppdaterar automatiskt. Men det är rådet från säkerhetsexperterna, uppdatera så snart som möjligt.