Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分?
2015年11月10日 15:15
headless 曰く、 MicrosoftのEMET(Enhanced Mitigation Experience Toolkit)はソフトウェアの脆弱性悪用を防ぐセキュリティ緩和策をまとめたツールキットだが、WoW64で実行されている32ビットプロセスに対しては効果が不十分という調査結果をDuo SecurityのDuo Labsチームが発表した(Duo Security、報告書PDF、Softpedia、SecurityWeek、Register)。
WoW64(Windows on Windows 64)は64ビット版のWindowsでWin32アプリを実行するためのサブシステム。Duoのデータによると、Webブラウザーの80%がWoW64上で実行されているという。WoW64環境では実行時にプロテクトモードとロングモードを切り替えることが可能となっているが、これにより純粋な32ビット環境にはない攻撃手段が利用可能となる。EMETは32ビットプロセスおよび64ビットプロセスに対する緩和策を提供するが、WoW64環境に特化した緩和策は提供されていないとのこと。
EMETをバイパスする方法はこれまでにも発見されているが、緩和策を個別にバイパスしていく必要があった。Duoが発見した方法では、単一のインストラクションを実行するだけでペイロード/シェルコード実行やROP(Return Oriented Programming)関連の緩和策をまとめてバイパスできるという。
DuoではWoW64上で十分な効果を発揮させるためにEMETの大幅な変更が必要であると述べ、セキュリティ研究者はWoW64を1つのアーキテクチャーとして扱う必要があると主張している。一方、EMETはセキュリティ対策で重要な役割を担っているとし、万能ではないものの比較的攻撃に強い64ビットネイティブソフトウェアの使用を推奨している。
スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア | Windows
関連ストーリー: Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日 Windows向けのセキュリティ強化ツール「EMET」を迂回するテクニックが発見される 2014年02月26日 Microsoft、セキュリティ向上ツール「EMET4.0」をリリース 2013年06月19日