Οι εκτεταμένες εκμεταλλεύσεις αποφεύγουν την προστασία που επιβάλλει η Microsoft EMET

Είναι κακά νέα για τις επιχειρήσεις. Οι χάκερ έχουν ξεκινήσει επιθέσεις μεγάλης κλίμακας, οι οποίες είναι ικανές να παρακάμψουν τις προστασίες ασφαλείας που προστέθηκαν από το Εργαλείο Enhanced Experience Experience Toolkit (EMET) της Microsoft, ένα εργαλείο που αποσκοπεί στην παύση των εκμεταλλεύσεων λογισμικού.

Οι ερευνητές της FireEye έχουν παρατηρήσει τα προγράμματα Silverlight και Flash Player που έχουν σχεδιαστεί για να αποφεύγουν τις μετρήσεις του EMET, όπως η Πρόληψη Εκτέλεσης Δεδομένων (DEP), η Εξαγωγή Πρόσβασης Πίνακα Διευθύνσεων Εξαγωγής (EAF) και η Εξαγωγή Πρόσβασης Πλαίσιο Διεύθυνσης Εξαγωγής (EAF +). Οι εκμεταλλευτές έχουν προστεθεί πρόσφατα στο κιτ εκμετάλλευσης του Angler.

Ο Angler είναι ένα από τα πιο ευρέως χρησιμοποιούμενα εργαλεία επίθεσης που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για την εκτόξευση επιθέσεων download μέσω του Διαδικτύου. Είναι σε θέση να εγκαταστήσει κακόβουλο λογισμικό εκμεταλλευόμενο τα τρωτά σημεία σε προγράμματα περιήγησης χρηστών ή plug-ins των προγραμμάτων περιήγησης όταν επισκέπτονται συμβιβασμένους ιστότοπους ή βλέπουν κακόφημες διαφημίσεις.

η δυνατότητα της Angler EK να αποφύγει τον μετριασμό του EMET και να εκμεταλλευτεί επιτυχώς τα Flash και Silverlight είναι αρκετά πολύπλοκη κατά την άποψή μας ", ανέφεραν οι ερευνητές της FireEye τη Δευτέρα σε μια θέση blog

οι εφαρμογές του κόμματος -ιδίως οι κληρονομιές- που χτίστηκαν χωρίς αυτές. Αυτό καθιστά πολύ πιο δύσκολο για τους εισβολείς να εκμεταλλευτούν τα τρωτά σημεία σε αυτά τα προγράμματα, προκειμένου να θέσουν σε κίνδυνο τους υπολογιστές.

Ενώ το EMET συνιστάται συχνά ως αμυντικό στρώμα για εκμεταλλεύσεις μηδενικών ημερών - εκμεταλλεύεται για προηγουμένως άγνωστες ευπάθειες - όταν πρόκειται για το πόσο γρήγορα αποκαλύπτουν τα γνωστά ελαττώματα.

Σε εταιρικά περιβάλλοντα, η εγκατάσταση του patching δεν συμβαίνει αυτόματα. Τα ενημερωτικά δελτία για το λειτουργικό σύστημα ή τα αυτόνομα προγράμματα πρέπει να έχουν προτεραιότητα, δοκιμαστεί και μόνο στη συνέχεια να προωθηθούν στους υπολογιστές, μια διαδικασία που μπορεί να καθυστερήσει σημαντικά την εγκατάστασή τους.

Με εκτεταμένες εκμεταλλεύσεις που τώρα μπορούν να αποφύγουν τον μετριασμό του EMET, που βασίζονται στην προστασία παλαιών εκδόσεων εφαρμογών όπως το Flash Player, το Adobe Reader, το Silverlight ή το Java μέχρι να μπορέσει μια εταιρεία να τις ενημερώσει.

Δυστυχώς, οι οργανώσεις αναγκάζονται μερικές φορές να διατηρούν παλιές εκδόσεις των plug-ins του προγράμματος περιήγησης και άλλων εφαρμογών εγκατεστημένες σε υπολογιστές τελικού σημείου προκειμένου να διατηρηθεί η συμβατότητα με εσωτερικές εφαρμογές εσωτερικού Web που δεν έχουν ξαναγραφεί από χρόνια

. "Εφαρμογές όπως το Adobe Flash, οι περιηγητές ιστού και η Oracle Java θα πρέπει να επιδιορθώνονται συνηθισμένα, δίνοντας προτεραιότητα στις κρίσιμες επιδιορθώσεις ή αφαιρούνται αν είναι δυνατόν , δήλωσαν οι ερευνητές της FireEye. "Επειδή το πρόγραμμα περιήγησης Web παίζει σημαντικό ρόλο στη διαδικασία μόλυνσης, η απενεργοποίηση των προσθηκών του προγράμματος περιήγησης για το Flash ή το Silverlight μπορεί επίσης να μειώσει την επιφάνεια επίθεσης του προγράμματος περιήγησης."