25.02.2014, 09:46
Bromium Labjuż zagościło u nas forum, udowadniając, że samodzielne lub implementowane do programów
Testowane mechanizmy na screenie poniżej
Nie jest to pierwszy raport, ukazujący luki i braki w ochronie oferowanej przez EMET i jak podkreślają jego autorzy wyniki zostały przesłane do Microsoftu zanim ujawniono jego treść publicznie, a afektem jest zapowiedź wydania EMET w wersji 5, o czym na Ars Technika wspomina Dan Goodin (Security Editor)
Wyniki i podsumowanie tych testów w cytacie poniżej
Informacja na blogu Bromium Lab
[Aby zobaczyć linki, zarejestruj się tutaj]
. Tym razem wzięli pod lupę najnowszą wersję EMET (4.1)- znanego i dość wszechstronnego narzędzia Microsoftu do walki m.in. z powszechnymi ostatnio exploitami. Testowano skuteczność wszystkich 12 mechanizmówobronnych, które EMET oferuje, ale głównie skupiono się na 5 mechanizmach chroniących przed relatywnie nową techniką wykorzystywaną przez atakujących czyli ROP ( return oriented programming )- technika ta pozwala najogólniej mówiąc na przejęciu kontroli nad zachowaniem jakiejś aplikacji bez wstrzyknięcia nowego kodu albo wyjaśniając nieco bardziej szczegółowo wykorzystując fragmenty kodu istniejących już w systemie aplikacji, ale w sposób dla nich nieprzewidziany i uzyskując efekt zupełnie odmienny od zamierzonego...czyli w tym przypadku infekcję. Mechanizm ten można porównać np. do sytuacji, kiedy z jakiegoś istniejącego tekstu wybieramy odpowiednie dla nas fragmenty i preparujemy z nich informację o zupełnie innym przekazie...mamy do czynienia właściwie z manipulacją informacją.Testowane mechanizmy na screenie poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie jest to pierwszy raport, ukazujący luki i braki w ochronie oferowanej przez EMET i jak podkreślają jego autorzy wyniki zostały przesłane do Microsoftu zanim ujawniono jego treść publicznie, a afektem jest zapowiedź wydania EMET w wersji 5, o czym na Ars Technika wspomina Dan Goodin (Security Editor)
Cytat: I asked a spokeswoman when EET 5 will be released and she replied with this:
“Microsoft collaborated with Bromium on their latest research to ensure continued protection for our customers. The Enhanced Mitigation Experience Toolkit (EMET) 4.1 contains a setting to address this issue and help customers with their ongoing defense-in-depth strategies.” – Jonathan Ness, principal security development manager, Microsoft Trustworthy Computing
[Aby zobaczyć linki, zarejestruj się tutaj]
Wyniki i podsumowanie tych testów w cytacie poniżej
Cytat:
8.4.0 Real World Summary
We bypass or ignore all 12 EMET protections with this exploit. In particular, we were required to focus on bypassing:
1. The stack pivot protection. We avoided it by using a pop-copy to the stack, a second pivot to the stack to execute
critical ROP code, and a final jump back to an EMET friendly payload.
2. The EAF filtering. We disabled this protection, by clearing the debug registers, which are key to the protection.
3. Finally, and surprisingly, we bypass the remaining checks by calling an unprotected version of VirtualProtect20
(...)
10.0.0 Conclusions
Deciding whether a program is good or bad was essentially determined to be impossible by Alan Turing in 1936 – before
the first computer was ever built23
. Each EMET rule is a check for a certain behavior. If alternate behaviors can achieve
the attacker objectives, bypasses are possible. In fact, the ROP protections from the second place BlueHat Prize winner
that made it into EMET do not stop ROP at all. The notion of checking at critical points is akin to treating the symptoms
of a cold, rather than curing the cold. Perhaps one of the other prize submissions would have better addressed the problem
of code reuse.
However, as was seen in our research, deploying EMET does mean attackers have to work a little bit harder; payloads
need to be customized, and EMET bypass research needs to be conducted. Thus, EMET is good for the price (free), but it
can24 be bypassed by determined attackers. Microsoft freely admits that it is not a prefect protection, and comments from
Microsoft speakers at conference talks admit that as well. The objective of EMET is not perfection, but to raise the cost
of exploitation25
. So the question really is not can EMET be bypassed. Rather, does EMET sufficiently raise the cost of
exploitation? The answer to that is likely dependent upon the value of the data being protected. For organizations with
data of significant value, we submit that EMET does not sufficiently stop customized exploits.
Informacja na blogu Bromium Lab
[Aby zobaczyć linki, zarejestruj się tutaj]
Pełny tekst raportu[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
