广泛利用Microsoft Emet强制执行的逃避保护
这是企业的坏消息。黑客推出了大规模攻击,该攻击能够绕过Microsoft“S增强的缓解体验”工具包(EMET)添加的安全保护,该工具,其目标是停止软件漏洞利用。
来自Fireeye的安全研究人员已观察到Silverlight和Flash播放器的漏洞设计,旨在避免EMET缓解,例如数据执行预防(DEP),导出地址表访问过滤(EAF)和导出地址表访问过滤加(EAF +)。最近已添加到Angler Exploit套件中的漏洞。
Angler是网络犯罪分子使用的最广泛使用的攻击工具之一,以推出基于Web的“驱动器”下载攻击。它能够通过利用在用户中的漏洞“浏览器或浏览器插件时的漏洞安装恶意软件,当时浏览器或浏览器插件访问受到妥协的网站或查看恶意制作广告。
“昂热ek逃避Emet缓解和成功利用闪光灯和Silverlight的能力在我们看来中相当复杂,”Fireeye研究人员在一个博客帖子中表示。
首先在2009年发布,EMET可以为第三方应用程序执行现代利用缓解机制 - 特别是遗产 - 在没有它们的情况下建立。这使攻击者在这些程序中利用漏洞的漏洞难以妥协计算机。
虽然EMET通常被推荐为零日漏洞的防御层 - 用于以前未知的漏洞 - 它还在涉及他们修补缺陷的快速时,它还给了一些余地。
在公司环境中,修补部署不会自动发生。需要优先考虑操作系统或独立程序的修补程序,仅测试,然后仅推送到计算机,这是一个可以大大延迟安装的过程。
对于现在能够逃避EMET缓解的广泛利用,该工具不再依赖于保护旧版本的应用程序,如Flash Player,Adobe Reader,Silverlight或Java,直到公司可以更新它们。
遗憾的是,组织有时被迫将旧版本的浏览器插件和安装在端点计算机上的其他应用程序保持兼容性,以便保持与多年来被重写的定制内部Web应用程序的兼容性。
“Adobe Flash,Web浏览器和Oracle Java等应用程序应经常修补,优先考虑关键修补程序,或者如果可能的话,”Fireeye研究人员表示。“因为Web浏览器在感染过程中发挥着重要作用,所以禁用Flash或Silverlight的浏览器插件也可能会降低浏览器攻击表面。”