攻撃者はマイクロソフトの攻撃防御ツールEMETを自分自身に向けることができます

ハッカーは、企業がWindowsのコンピュータとアプリケーションをパブリックまたは未知のソフトウェアエクスプロイトから強化するために使用する無料のツールであるMicrosoft Enhanced Mitigation Experience Toolkit（EMET）を簡単に無効にすることができます。 FireEyeは、ツール自体の正当な機能を利用して、エクスプロイトがEMETによる保護を解除できる方法を発見しました。

Microsoftは2月2日にリリースされたEMET 5.5でこの問題を修正しました。新しいバージョンでは主にWindows 10との互換性が追加され、新しい重要な緩和策はもたらされないため、多くのユーザーはまだアップグレードしていません。

あなたのWindows PCからマルウェアを削除する方法] EMETは、2009年に最初にリリースされたDEP（Data Execution Prevention）、ASLR（Address Space Layout Randomization）、EAF（Export Address Table Access Filtering）それを使わずに構築されたアプリケーション、特に従来のアプリケーションに適用されます。

セキュリティ研究者は、EMET強制による特定の緩和策を長年に渡って回避するさまざまな方法を発見しましたが、主に設計および実装のエラーの結果でしたいくつかのモジュールやAPIは保護されていないようです。 FireEyeの研究者は、本質的にEMETを使用している新しい技術はより信頼性が高いと信じています。また、EMET保護を完全に無効にする方法も以前から報告されています。以前に公開されたバイパスよりも使いやすくなっています。さらに、サポートされているEMET-5.0,5.1,5.2のすべてのバージョン（EMET 5.5を除く）、および4.1などのサポートされなくなったバージョンでも動作します。

EMETはいくつかのDLL（Dynamic Link Libraries）を保護するように構成されたサードパーティアプリケーションプロセス。これにより、これらのプロセスからクリティカルなシステムAPIへの呼び出しを監視し、それらが正当なものか悪用されたものかを判断することができます。

しかし、このツールにも緩和策をアンロードするコードが含まれています。保護されたプロセスを誤動作やクラッシュを引き起こすことなく初期状態に戻すことができます。 FireEyeの研究者が悪用からどのようにトリガーするかを理解しているのは、この機能です。

火曜日のブログ記事では、「EMETを完全に無効にするためには、この機能を見つけて呼び出すだけです。 "EMET.dll v5.2.0.1では、この関数はオフセット0x65813にあります。この機能にジャンプすると、EMETのインストールされたフックが削除されます。 "

これは、EMETの個々の保護を設計通りにバイパスするよりも使いやすい重要な新しい攻撃ベクトルです。 EMETユーザーは、将来採用する可能性のある攻撃を避けるため、できるだけ早くバージョン5.5にアップグレードすることを検討する必要があります。 Windows 9との互換性に加えて、この新しいEMETバージョンでは、グループポリシーによる保護の構成と管理が改善され、EAFおよびEAF +軽減のパフォーマンスが向上します。