Security-Experten hebeln EMET aus

24.02.2016

Eine in Microsofts Enhanced Mitigation Experience Toolkit (EMET) vorhandene Funktion kann dazu verwendet werden, den Schutz zu umgehen. 

Security-Experten von FireEye haben einen Weg gefunden, den Schutz durch Microsofts Enhanced Mitigation Experience Toolkit (EMET) zu umgehen. In der Vergangenheit haben bereits andere Möglichkeiten aufgezeigt, wie sich die Absicherung durch EMET umgehen lässt, die meisten waren aber mit relativ hohem Aufwand verbunden. 

Die FireEye-Experten verwenden dagegen im Enhanced Mitigation Experience Toolkit vorhandenen Code, um den Schutz auszuschalten. EMET injiziert dynamische Libraries (DLLs) in die geschützten Prozesse, um zu untersuchen, ob bestimmte Aufrufe legitim sind oder ein Sicherheitsrisiko darstellen. Darüber hinaus enthalten die EMET-DLLs offensichtich auch Code, um den Schutz auszuschalten und den Prozess wieder in einen ungeschützten Zustand zu überführen. Davon machen die FireEye-Hacker in ihrem Exploit mit Hilfe von Angriffstechniken wie Return Oriented Programming (ROP) Gebrauch.

Laut FireEye hat Microsoft für EMET 5.5 einen Patch bereitgestellt, der die Sicherheitslücke schließt. 

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019