Eine der größten stärken des Windows-Betriebssystem ist die Abwärtskompatibilität. Viele classic-Programme aus der DOS-Alter oder frühen Windows-Tagen noch einwandfrei läuft auf modernen Windows-Versionen.
Zusammen mit der Kraft kommt in Schwäche, als exploits kann Ziel der legacy-Systeme.
Forscher bei Duo Security entdeckte ein Problem in Microsoft ‘ s Enhanced Mitigation Experience Toolkit (EMET), die es Ihnen erlaubt, umgehen den Schutz, den es hinzufügt, um das system mithilfe des WoW64-layer-Kompatibilität zur Verfügung gestellt von 64-bit-Versionen von Windows.
WoW, oder Windows auf Windows, die es ermöglicht, 32-bit-Anwendungen auf 64-bit-Maschinen. Während die meisten Windows-Systeme in diesen Tagen sind 64-bit-Maschinen, viele Programme laufen auf diesen Maschinen nicht.
WoW64 ist in allen 64-bit-Versionen von Windows, einschließlich Windows 7, Windows 8.1 und Windows 10 als auch alle server-Versionen des Betriebssystems.
Das WoW64-subsystem besteht aus einem leichten Kompatibilität Schicht, die ähnliche Schnittstellen auf allen 64-bit-Versionen von Windows. Es zielt auf die Schaffung einer 32-bit-Umgebung, bietet die notwendigen Schnittstellen zum ausführen von unmodifizierten Windows-32-bit Anwendungen auf einem 64-bit-system.
Für web-Browser, zum Beispiel fanden die Forscher heraus, dass 80% sind immer noch 32-bit-Prozesse ausführen auf dem 64-bit-host-Rechner, 16% sind 32-bit-Prozesse ausgeführt, die auf 32-bit-hosts, und nur 4% als echte 64-bit-Prozessen (basierend auf einer einwöchigen Probe von browser-Authentifizierung für die eindeutige Windows-Systeme).
Ein kernergebnis war, dass EMET schadensbegrenzenden Maßnahmen sind weit weniger wirksam unter der Wow64-subsystem und das ändern müsste, dass wesentliche änderungen, wie EMET funktioniert.
Die Forscher sind sich der Tatsache bewusst, dass EMET Schutzmaßnahmen weitergegeben wurden, bevor, aber die meisten befassen sich mit Umgehung der Schutzmaßnahmen individuell. Ihre Methode, auf der anderen Seite ermöglicht es Ihnen, alle umgehen Nutzlast/shellcode execution und ROP-bezogene Schutzmaßnahmen in eine “generische, anwendungsunabhängige Möglichkeit, mithilfe des WoW64-layer-Kompatibilität in 64-bit-Editionen von Windows”.
Eine wissenschaftliche Arbeit ist im PDF-format verfügbar. Sie können laden Sie es aus dem Duo Security-website direkt.
Sie sind wahrscheinlich Fragen, was die take-away ist. Die Forscher empfehlen den Einsatz von nativen 64-bit-Anwendungen, wenn 32-bit-und 64-bit-Versionen eines Programms verfügbar sind.
Der Hauptgrund dafür ist, dass 64-bit-Binärdateien bieten Sicherheit Vorteile und machen Sie “einige Aspekte der Ausbeutung schwieriger”.
EMET ist noch zu empfehlen die Forscher, wie es “weiterhin die Messlatte für die Verwertung” und “ist immer noch ein wichtiger Teil der defense-in-depth-Strategie”.
Jetzt Sie: führen Sie EMET oder andere mitigation-software auf Windows?