Een van de sterkste punten van het Windows-besturingssysteem is de achterwaartse compatibiliteit. Veel klassieke programma ‘ s uit het DOS-tijdperk of vroeg in de Windows-dagen zijn nog steeds goed draait op moderne versies van Windows.
Samen met de kracht komt een zwakte, als exploits kunnen richten op deze legacy-systemen.
Onderzoekers van Duo Security ontdekte een probleem in de Microsoft Enhanced Mitigation Experience Toolkit (EMET) die hen in staat stelt te omzeilen van de bescherming die het toevoegt aan het systeem door het gebruik van het WoW64-laag verstrekt door de 64-bit versies van Windows.
WoW, of Windows-on-Windows, kan 32-bit-applicaties te draaien op 64-bit machines. Terwijl de meeste Windows systemen deze dagen zijn 64-bit machines, veel van de programma ‘ s uitvoeren op deze machines niet zijn.
WoW64 is een onderdeel van de 64-bits versies van Windows, waaronder Windows 7, Windows 8.1 en Windows 10 zo goed als alle server-edities van het besturingssysteem.
Het WoW64-subsysteem bestaat uit een lichtgewicht laag, die heeft vergelijkbare interfaces op de 64-bit versies van Windows. Het streeft naar het creëren van een 32-bits omgeving waarmee de interfaces vereist voor het uitvoeren van ongewijzigde 32-bits Windows-toepassingen op een 64-bits systeem.
Voor web browsers bijvoorbeeld de onderzoekers ontdekten, dat 80% zijn nog steeds 32-bits processen die uitgevoerd worden op de 64-bits host machine, 16% zijn 32-bits processen worden uitgevoerd op 32-bits hosts, en slechts 4% echte 64-bits processen (gebaseerd op een week lang in het voorbeeld van de browser verificatie van gegevens voor unieke Windows systemen).
Een kern bevinding was dat EMET oplossingen zijn veel minder effectief onder het Wow64-subsysteem en dat het veranderen van die noodzaken tot belangrijke aanpassingen aan de wijze waarop EMET werkt.
De onderzoekers zijn zich bewust van het feit dat EMET oplossingen zijn vrijgegeven voor, maar de meeste gaan met het omzeilen van oplossingen individueel. Hun methode aan de andere kant stelt hen in staat om alle obstakels payload/shellcode uitvoering en ROP-gerelateerde oplossingen in een “een generieke, applicatie-onafhankelijke manier, met behulp van het WoW64-laag beschikbaar in 64-bits edities van Windows”.
Een research paper is beschikbaar in PDF-formaat. Je kan het downloaden van de Duo-Beveiliging op de website direct.
U bent waarschijnlijk afvragen wat de afstand is. De onderzoekers stellen voor gebruik van de native 64-bit applicaties als 32-bits en 64-bits versies van een programma beschikbaar zijn.
De belangrijkste reden hiervoor is dat 64-bits binaire bestanden bieden zekerheid en zorg ‘enkele aspecten van de exploitatie moeilijker”.
EMET is het nog steeds aanbevolen door de onderzoekers als het “blijft de lat voor uitbuiting” en “is nog steeds een belangrijk onderdeel van een defense-in-depth-strategie”.
Nu Je: ga je EMET of andere mitigatie-software op Windows?