Uno dei maggiori punti di forza del sistema operativo Windows è la compatibilità all’indietro. Molti programmi classici, dal DOS in età precoce o-Windows giorni sono ancora in esecuzione bene su versioni moderne di Windows.
Insieme con la forza è anche una debolezza, come exploit può rivolgersi a questi sistemi legacy.
Ricercatori presso il Duo di Protezione ha rilevato un problema in Microsoft Enhanced Mitigation Experience Toolkit (EMET) che permette loro di aggirare la protezione si aggiunge al sistema utilizzando il WoW64 livello di compatibilità previste dalle versioni a 64 bit di Windows.
WoW, o su Windows, consente di applicazioni a 32 bit in esecuzione su macchine a 64-bit. Mentre la maggior parte dei sistemi Windows, in questi giorni sono macchine a 64-bit, molti dei programmi eseguiti su queste macchine non sono.
WoW64 è parte di tutte le versioni a 64 bit di Windows, compreso Windows 7, Windows 8.1 e Windows 10, così come tutte le edizioni server del sistema operativo.
Il sottosistema WoW64 dispone di un leggero strato di compatibilità che ha interfacce simili su tutte le versioni a 64 bit di Windows. Esso mira a creare un ambiente a 32 bit che fornisce le interfacce necessarie per eseguire non modificato applicazioni Windows a 32 bit su un sistema a 64 bit.
Per i browser web, per esempio, i ricercatori hanno scoperto che l ‘ 80% sono ancora i processi a 32 bit in esecuzione su host a 64-bit macchina, il 16% sono a 32 bit processi eseguiti su 32-bit padroni di casa, e solo il 4% vera processi a 64 bit (basato su una lunga settimana di campione del browser, i dati di autenticazione unico per sistemi Windows).
Un core constatazione è stata che EMET attenuazioni sono di gran lunga meno efficace sotto il sottosistema Wow64 e che la modifica che richiedono modifiche principali come EMET opere.
I ricercatori sono consapevoli del fatto che EMET attenuazioni sono state portate a conoscenza prima, ma più che fare con bypassando le attenuazioni singolarmente. Il loro metodo d’altra parte consente loro di bypassare tutti i payload/shellcode esecuzione e POR relative attenuazioni un “generico dell’applicazione, in modo autonomo, utilizzando il WoW64 livello di compatibilità previsti in versioni a 64 bit di Windows”.
Un documento di ricerca è disponibile in formato PDF. Si può scaricare dal Duo di Sicurezza sito web direttamente.
Probabilmente si sta chiedendo che cosa il take-away. I ricercatori suggeriscono di utilizzare nativo a 64-bit delle applicazioni ogni volta che a 32-bit e 64-bit versioni del programma sono disponibili.
La ragione principale per questo è che il 64-bit binari offrire vantaggi in termini di sicurezza e di effettuare alcuni aspetti di sfruttamento più difficile”.
EMET è ancora raccomandato dai ricercatori come “continua ad alzare il livello di sfruttamento” e “è ancora una parte importante di una difesa in profondità strategia”.
Ora: hai EMET o altri mitigazione del software su Windows?