Security-Experten hebeln EMET aus

24.02.2016

Eine in Microsofts Enhanced Mitigation Experience Toolkit (EMET) vorhandene Funktion kann dazu verwendet werden, den Schutz zu umgehen. 

Security-Experten von FireEye haben einen Weg gefunden, den Schutz durch Microsofts Enhanced  Mitigation Experience Toolkit (EMET) zu umgehen . In der Vergangenheit haben bereits andere Möglichkeiten aufgezeigt, wie sich die Absicherung durch EMET umgehen lässt, die meisten waren aber mit relativ hohem Aufwand verbunden. 

Die FireEye-Experten verwenden dagegen im Enhanced Mitigation Experience Toolkit vorhandenen Code, um den Schutz auszuschalten. EMET injiziert dynamische Libraries (DLLs) in die geschützten Prozesse, um zu untersuchen, ob bestimmte Aufrufe legitim sind oder ein Sicherheitsrisiko darstellen. Darüber hinaus enthalten die EMET-DLLs offensichtich auch Code, um den Schutz auszuschalten und den Prozess wieder in einen ungeschützten Zustand zu überführen. Davon machen die FireEye-Hacker in ihrem Exploit mit Hilfe von Angriffstechniken wie Return Oriented Programming (ROP) Gebrauch.

Laut FireEye hat Microsoft für EMET 5.5 einen Patch bereitgestellt, der die Sicherheitslücke schließt. 

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023