EMETを利用してEMETを無効化する手法、FireEyeが解説
2016年2月29日 12:05
Microsoftの脆弱性緩和ツール EMET (Enhanced Mitigation Experience Toolkit) の機能を利用してEMETを無効化する手法について、FireEyeが詳細を解説している(FireEye Blogsの記事、The Registerの記事、WinBetaの記事)。 EMETでは保護するすべてのプロセスに emet.dll または emet64.dll を注入し、Windows APIの呼び出しをフックすることで重要なAPIを呼び出すコードの分析を行う。ただし、EMETの内部には注入したDLLをプロセスからアンロードするためのコードが含まれている。このコードにはDllMainから到達可能であり、ROP(Return Oriented Programming)ガジェットを用いて適切な引数を渡すことによりEMETを完全に無効化できるとのこと。 ブログ記事の後半では、過去にMicrosoftが対策を行ったEMETのバイパス/無効化手法が紹介されているが、今回の手法は過去のいずれの手法よりも簡単に実行可能であり、テストしたバージョン(4.1/5.1/5.2/5.2.0.1)のEMETすべてに有効だったという。なお、この問題はEMET 5.5で対策済みとなっている。 スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | Windows
関連ストーリー: Microsoft曰く、Windows 10でEMETを使う必要はない 2016年02月11日 Microsoftのセキュリティー製品の検出性能は向上している? 2016年01月30日 Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分? 2015年11月10日 Windows向けのセキュリティ強化ツール「EMET」を迂回するテクニックが発見される 2014年02月26日 Microsoft、セキュリティ向上ツール「EMET4.0」をリリース 2013年06月19日