En af de største styrker af Windows-operativsystemet, er bagud-kompatibilitet. Mange klassiske programmer fra de DOS-alder eller tidlige dage Windows stadig kører fint på moderne versioner af Windows.
Sammen med styrken kommer en svaghed, som udnytter kan målrette disse ældre systemer.
Forskere ved Duo Sikkerhed opdagede et problem i Microsoft ‘ s Enhanced Mitigation Experience Toolkit (EMET), der giver dem mulighed for at omgå den beskyttelse, det tilføjer til systemet ved hjælp WoW64 kompatibilitet lag leveret af 64-bit-versioner af Windows.
WoW, eller Windows på Windows, der gør det muligt for 32-bit programmer til at køre på 64-bit-maskiner. Mens de fleste Windows-systemer i disse dage er 64-bit maskiner, mange af de programmer, som kører på disse maskiner er ikke.
WoW64 er en del af alle 64-bit-versioner af Windows, herunder Windows 7, Windows 8.1 og Windows-10 samt alle server-udgaver af operativsystemet.
Den WoW64 delsystemet består af en letvægts kompatibilitet lag, der er lignende grænseflader på alle 64-bit-versioner af Windows. Det har til formål at skabe en 32-bit-miljø, der giver de grænseflader, der kræves for at køre uændret 32-bit Windows-programmer på en 64-bit system.
For web-browsere som for eksempel forskere fundet ud af, at 80% er stadigvæk 32-bit processer, der udføres på 64-bit-værten, 16% er 32-bit-processer, der udføres på 32-bit-værter, og kun 4% ægte 64-bit-processer (baseret på en uge-lang udsnit af browser-godkendelse data for unik Windows-systemer).
Et centralt fund var, at EMET-sikkerhedsproblemerne er langt mindre effektiv under Wow64 delsystem, og at en ændring, der ville kræve store ændringer til, hvordan EMET værker.
Forskerne er klar over det faktum, at EMET afhjælpninger har været offentliggjort før, men de fleste beskæftige sig med uden afhjælpninger individuelt. Deres metode på den anden side giver dem mulighed for at omgå alle nyttelast/shellcode udførelse og ROP-relaterede afhjælpninger i en “generisk, program-uafhængig måde, ved hjælp af WoW64 kompatibilitet lag fastsat i 64-bit udgaver af Windows”.
En forskning papir er tilgængelige i PDF-format. Du kan downloade det fra Duoen Sikkerhed websted direkte.
Du er formentlig undrende, hvad take-away er. Forskerne foreslår at bruge native 64-bit-applikationer, hvor 32-bit og 64-bit versioner af et program er til rådighed.
Den væsentligste årsag til dette er, at 64-bit binære filer tilbyder ydelser og gøre “nogle aspekter af udnyttelse mere vanskeligt”.
EMET er stadig anbefales af forskere som “fortsætter med at hæve barren for udnyttelse” og “er stadig en vigtig del af et defense-in-depth” – strategi.
Nu er Du: du kører EMET eller andre afbødning af software på Windows?