EMETを利用してEMETを無効化する手法、FireEyeが解説

Microsoftの脆弱性緩和ツール EMET (Enhanced Mitigation Experience Toolkit) の機能を利用してEMETを無効化する手法について、FireEyeが詳細を解説している(FireEye Blogsの記事、The Registerの記事、WinBetaの記事)。

EMETでは保護するすべてのプロセスに emet.dll または emet64.dll を注入し、Windows APIの呼び出しをフックすることで重要なAPIを呼び出すコードの分析を行う。ただし、EMETの内部には注入したDLLをプロセスからアンロードするためのコードが含まれている。このコードにはDllMainから到達可能であり、ROP(Return Oriented Programming)ガジェットを用いて適切な引数を渡すことによりEMETを完全に無効化できるとのこと。

ブログ記事の後半では、過去にMicrosoftが対策を行ったEMETのバイパス/無効化手法が紹介されているが、今回の手法は過去のいずれの手法よりも簡単に実行可能であり、テストしたバージョン(4.1/5.1/5.2/5.2.0.1)のEMETすべてに有効だったという。なお、この問題はEMET 5.5で対策済みとなっている。　スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | Windows

　関連ストーリー：
Microsoft曰く、Windows 10でEMETを使う必要はない 2016年02月11日
Microsoftのセキュリティー製品の検出性能は向上している？ 2016年01月30日
Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分？ 2015年11月10日
Windows向けのセキュリティ強化ツール「EMET」を迂回するテクニックが発見される 2014年02月26日
Microsoft、セキュリティ向上ツール「EMET4.0」をリリース 2013年06月19日