广泛利用Microsoft Emet强制执行的逃避保护

2021-09-03 12:46:40来源:

这是企业的坏消息。黑客推出了大规模攻击,该攻击能够绕过Microsoft“S增强的缓解体验”工具包(EMET)添加的安全保护,该工具,其目标是停止软件漏洞利用。

来自Fireeye的安全研究人员已观察到Silverlight和Flash播放器的漏洞设计,旨在避免EMET缓解,例如数据执行预防(DEP),导出地址表访问过滤(EAF)和导出地址表访问过滤加(EAF +)。最近已添加到Angler Exploit套件中的漏洞。

Angler是网络犯罪分子使用的最广泛使用的攻击工具之一,以推出基于Web的“驱动器”下载攻击。它能够通过利用在用户中的漏洞“浏览器或浏览器插件时的漏洞安装恶意软件,当时浏览器或浏览器插件访问受到妥协的网站或查看恶意制作广告。

“昂热ek逃避Emet缓解和成功利用闪光灯和Silverlight的能力在我们看来中相当复杂,”Fireeye研究人员在一个博客帖子中表示。

首先在2009年发布,EMET可以为第三方应用程序执行现代利用缓解机制 - 特别是遗产 - 在没有它们的情况下建立。这使攻击者在这些程序中利用漏洞的漏洞难以妥协计算机。

虽然EMET通常被推荐为零日漏洞的防御层 - 用于以前未知的漏洞 - 它还在涉及他们修补缺陷的快速时,它还给了一些余地。

在公司环境中,修补部署不会自动发生。需要优先考虑操作系统或独立程序的修补程序,仅测试,然后仅推送到计算机,这是一个可以大大延迟安装的过程。

对于现在能够逃避EMET缓解的广泛利用,该工具不再依赖于保护旧版本的应用程序,如Flash Player,Adobe Reader,Silverlight或Java,直到公司可以更新它们。

遗憾的是,组织有时被迫将旧版本的浏览器插件和安装在端点计算机上的其他应用程序保持兼容性,以便保持与多年来被重写的定制内部Web应用程序的兼容性。

“Adobe Flash,Web浏览器和Oracle Java等应用程序应经常修补,优先考虑关键修补程序,或者如果可能的话,”Fireeye研究人员表示。“因为Web浏览器在感染过程中发挥着重要作用,所以禁用Flash或Silverlight的浏览器插件也可能会降低浏览器攻击表面。”


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章