EMET de dérivation dans Wow64 sous-système Windows

0
246

L’une des plus grandes forces du système d’exploitation Windows est rétro-compatibilité. De nombreux programmes classiques du DOS-âge ou les premiers jours de Windows sont encore en cours d’exécution fine sur les versions modernes de Windows.

Avec la force vient d’une faiblesse, comme les exploits peuvent cibler ces systèmes hérités.

Des chercheurs de Duo de Sécurité a découvert un problème dans Microsoft Enhanced Mitigation Experience Toolkit (EMET) qui leur permet de contourner la protection qu’elle apporte au système à l’aide de la WoW64 couche de compatibilité fournis par les versions 64 bits de Windows.

WoW, ou Windows sur Windows, permet aux applications 32 bits pour fonctionner sur les ordinateurs 64 bits. Alors que la plupart des systèmes Windows ces jours sont les ordinateurs 64 bits, de nombreux programmes s’exécutent sur ces machines ne sont pas.

WoW64 fait partie de toutes les versions 64 bits de Windows, y compris Windows 7, Windows 8.1 et Windows 10 ainsi que toutes les éditions serveur du système d’exploitation.

Le sous-système WoW64 comprend une légère couche de compatibilité qui a les mêmes interfaces sur toutes les versions 64 bits de Windows. Il vise à créer un environnement 32 bits qui fournit les interfaces requises pour exécuter non modifiée applications Windows 32 bits sur un système 64 bits.

Pour les navigateurs web par exemple, les chercheurs ont découvert que 80% sont encore en processus 32 bits qui s’exécutent sur l’ordinateur hôte 64 bits machine, 16% 32 bits sont des processus exécutés sur 32 bits hôtes, et seulement 4% vrai processus 64 bits (basé sur une semaine de l’échantillon de navigateur des données d’authentification unique pour les systèmes Windows).

emet 4.0

Une conclusion a été que la trousse à outils EMET atténuations sont beaucoup moins efficaces dans le sous-système Wow64 et que changer cela nécessiterait d’importantes modifications à la façon dont IL fonctionne.

Les chercheurs sont conscients du fait que la trousse à outils EMET mesures d’atténuation ont été divulgués avant, mais la plupart traitent de contourner les mesures d’atténuation individuellement. Leur méthode sur l’autre main permet de contourner l’ensemble de la charge utile/shellcode exécution et ROP liées à l’atténuation dans un “générique”, la demande de manière indépendante, à l’aide de la WoW64 couche de compatibilité prévue dans les éditions 64 bits de Windows”.

Un document de recherche est disponible en format PDF. Vous pouvez le télécharger sur le Duo de Sécurité directement le site.

Vous vous demandez probablement ce que le take-away est. Les chercheurs suggèrent d’utiliser les applications 64 bits à chaque fois que 32-bit et 64-bit versions d’un programme sont disponibles.

La principale raison pour cela est que la version 64 bits binaires offrent des prestations de la sécurité et de faire “quelques aspects de l’exploitation plus difficile”.

IL est toujours recommandé par les chercheurs comme il “continue à hausser la barre pour l’exploitation” et “est toujours une partie importante d’un système de défense en profondeur de la stratégie”.

Maintenant, Vous: Ne vous lancez EMET ou d’autres mesures d’atténuation des logiciels sur Windows?