De gratis Enhanced Mitigation Experience Toolkit (EMET) van Microsoft die bescherming tegen zero day-aanvallen en drive by-downloads moet bieden blijkt Windowscomputers ook tegen Word-documenten met kwaadaardige macro's te kunnen beschermen. EMET voegt een extra beveiligingslaag aan applicaties en het besturingssysteem toe, wat het lastiger voor aanvallers moet maken om kwetsbaarheden uit te buiten.

EMET kan echter ook aanvallen stoppen die via kwaadaardige macro's worden uitgevoerd, zo meldt Didier Stevens, handler bij het Internet Storm Center (ISC). Stevens opende een bestand met een kwaadaardige macro's. Standaard staan macro's in Word-documenten uitgeschakeld. Als Stevens in dit geval de macro's inschakelde werd er malware op het systeem geïnstalleerd. De macro injecteert hiervoor shellcode in het proces van Microsoft Word.

Het injecteren van code op deze manier activeert de Export address table Access Filtering (EAF) van EMET en zorgt ervoor dat het Word-proces wordt afgesloten. Microsoft kondigde vorige week nog aan dat het halverwege 2018 gaat stoppen met de ondersteuning van EMET. Volgens de softwaregigant is de gratis beveiligingstool geen integraal onderdeel van het besturingssysteem, kan het worden omzeild en beschikt Windows 10 inmiddels over betere beschermingsmaatregelen.