攻击者可以将微软的漏洞防御工具emet自身变为自身

黑客可以轻松禁用Microsoft增强缓解体验工具包（EMET），这是公司使用的免费工具，以加强其Windows计算机和对软件利用的应用程序。

安全供应商Fireeye的研究人员发现了一种方法，通过它可以通过利用工具本身的合法功能来卸载EMET强制保护。

Microsoft在EMET 5.5中修补了该问题，该问题于2月2日发布。但是，它可能是许多用户尚未升级，因为新版本主要增加了与Windows 10的兼容性，并且不会带来任何新的显着缓解。

首次发布于2009年，EMET可以执行现代利用缓解机制，如数据执行预防，地址空间布局随机化或导出地址表访问过滤到应用程序，尤其是传统的，尤其是在没有它们的情况下建立的。这使得攻击者更难利用这些应用程序中的漏洞，以便妥协计算机。

安全研究人员多年来发现了各种方式来绕过特定的EMET强制缓解，但它们主要是设计和实现错误的结果，如某些模块或API被留下未受保护。过去报道了禁用EMET保护的方法，但它们并不总是直截了当，需要大量努力。

Fireeye研究人员认为，他们的新技术基本上使用EMET对抗本身，比以前发布的任何绕过更可靠，更容易使用。此外，它适用于EMET-5.0,5.1和5.2的所有支持的版本 - 除EMET 5.5之外，还有在不再支持的版本，如4.1。

EMET将一些DLL（动态链路库）注入其CONPD以保护的第三方应用程序进程。这允许它将来自这些进程的呼叫监视到关键系统API，并确定它们是否是合法的或漏洞的结果。

但是，该工具还包含负责以干净的方式卸载缓解的代码，将受保护的进程返回到初始状态而不会导致故障或崩溃。这是Fireeye研究人员的特点是如何从漏洞利用触发如何触发。

“一个只需要找到并称之为这个函数来完全禁用EMET，”他们在周二的博客文章中说。“在Emet.dll v5.2.0.1中，此函数位于Offset 0x65813。跳转到此函数会导致后续调用，删除EMET安装的挂钩。“

他们说，这是一个重要的新攻击载体，它比绕过每个EMET的唯一保护，因为它们所设计的唯一保护。

由于这种技术现在是公开，EMET用户应尽快考虑升级到版本5.5，以避免可能采用它的未来攻击。除了Windows 10兼容性外，这个新的EMET版本还可以通过组策略来提高保护的配置和管理，并提高EAF和EAF +缓解的性能。