• Angler: Kit Exploit Ignora Proteções do EMET

    Publicado em 09-06-2016 03:00
    0 Comentários Comentários
    O bastante conhecido kit exploit Angler, é agora capaz de contornar as proteções oferecidas pelo Microsoft's Enhanced Mitigation Experience Toolkit (EMET), de acordo com uma descoberta feita pelos pesquisadores da FireEye. EMET é um utilitário criado para dar um freio em certas classes de exploits, que tiram proveito de vulnerabilidades em vários softwares. A versão mais recente do kit de ferramentas é a 5.5, que é o único que funciona no Windows 10. A versão anterior (que é a 5.2), funciona no Windows 8, 7, Vista, e várias versões do Windows Server. De acordo com as conclusões da FireEye, o Angler EK utiliza exploits para Adobe Flash e Microsoft Silverlight para explorar vulnerabilidades que são capazes de frustrar as funcionalidades do EMET, mas até agora a tática só foi descoberta em atividade em sistemas que executam o Windows 7.




    Os criminosos usam Flash.ocx e Coreclr.dll, em um "to call" direcionado a VirtualProtect e VirtualAlloc, respectivamente, com PAGE_EXECUTE_READWRITE, em um processo de evasão relacionado ao Data Execution Prevention - DEP, e saindo do endereço de retorno sob uma análise heurística baseada em validação. Os exploits também são capazes de uma evasão relacionada a EMET’s Export Address Table Filtering (EAF) e demais elementos de mitigação. Enquanto proteções do EMET foram ignoradas pelos pesquisadores várias vezes antes, esta é a primeira vez que bypasses bem sucedidos foram registrados na natureza.


    Saiba Mais:

    [1] Net Security - Malware News https://www.helpnetsecurity.com/2016...bypasses-emet/
    + Enviar Comentário