image

Nieuwe aanvalstechniek omzeilt Microsoft EMET

woensdag 19 februari 2014, 12:28 door Redactie, 1 reacties

De Chinese beveiligingsonderzoeker Yang Yu die onlangs 100.000 dollar van Microsoft kreeg wegens het melden van een compleet nieuwe aanvalstechniek voor Windows 8.1, blijkt daarmee ook Microsofts eigen en geprezen Enhanced Mitigation Experience Toolkit (EMET) te omzeilen.

Het geldbedrag is onderdeel van een Microsoftprogramma dat onderzoekers beloont voor het melden van compleet nieuwe aanvalstechnieken op Windows 8.1 waarbij bestaande beveiligingstechnieken en maatregelen worden omzeild. De aanval van Yu maakt het mogelijk om de beveiligingsmaatregelen Address Space Layout Randomization (ASLR) en Data Execution Prevention (DEP) te omzeilen.

ASLR maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen terwijl DEP het uitvoeren van aanvalscode in delen van het geheugen moet voorkomen waar dit niet is toegestaan.

Aanval

Windows maakt standaard gebruik van ASLR en DEP, maar dat geldt niet voor programma's van bijvoorbeeld derde partijen. Via EMET is het mogelijk om voor deze applicaties toch ASLR en DEP in te schakelen. De aanval van Yu, waar hij geen specifieke details over mag prijsgeven, weet ASLR en DEP volledig te omzeilen, zelfs als EMET is ingeschakeld. Vorig jaar ontdekte de Chinese onderzoeker nog een kwetsbaarheid in de bètaversie van EMET 4.0 die Microsoft uiteindelijk patchte.

De onderzoeker zegt dat hij de technieken vooral vanwege de uitdaging en beloning probeert te vinden. Daarnaast is het volgens Yu ook effectiever dan het zoeken naar specifieke lekken. "Ik zie kwetsbaarheden als kogels en aanvalstechnieken als pistolen. Het vernietigen van het pistool is altijd beter dan het stoppen van allerlei kogels", zo laat hij tegenover Threatpost weten.

Reacties (1)
19-02-2014, 22:39 door Anoniem
...terwijl DEP het uitvoeren van aanvalscode in delen van het geheugen moet voorkomen waar dit niet is toegestaan.

Ehh, zijn er dan ook delen van het geheugen waar het uitvoeren van aanvalscode wél is toegestaan?
*zucht*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.