Angler, l'exploit che scavalca le contromisure EMET di Microsoft

Angler, l'exploit che scavalca le contromisure EMET di Microsoft

Per la prima volta individuata una minaccia capace di aggirare le contromisure Enhanced Mitigation Experience Toolkit di Microsoft, che per lungo tempo hanno neutralizzato gli attacchi capaci di sfruttare vulnerabilità di sistema operativo e applicazioni

di pubblicata il , alle 18:31 nel canale Sicurezza
 

I ricercatori di sicurezza di FireEye hanno individuato un nuovo toolkit malevolo capace di scavalcare EMET, le contromisure sviluppate da Microsoft e pensate per bloccare intere classi di attacchi capaci di fare leva sulle vulnerabilità del sistema operativo o dei programmi installati.

Acronimo di Enhanced Mitigation Experience Toolkit, EMET è stato considerato come uno dei modi più efficaci per irrobustire i sistemi Windows contro quel genere di attacchi che sfruttano gravi vulnerabilità presenti nel sistema operativo o nelle applicazioni, attacchi a loro volta spesso usati come veicolo di infezione per ransomware e cryptovirus.

I ricercatori di sicurezza hanno individuato in Angler, un toolkit malevolo in vendita online, una serie di exploit capaci di perforare le difese di EMET: si tratta del primo caso individuato "in the wild". Sottolineano i ricercatori: "I kit exploit sono divenuti molto sofisticati nel corso degli anni. Laddove le tecniche di offuscamento e le vulnerabilità zero-day erano le uniche aggiunte al ciclo di sviluppo, ora si osserva anche l'uso di codice evasivo che viene integrato nel framework e nello shellcode".

I nuovi exploit che sono stati individuati dai ricercatori fanno uso di codice basato sui plugin Flash e Silverlight, allo scopo di bypassare le misure di Data Execution Prevention, una misura che previene l'esecuzione di codice malevolo in determinate parti della memoria, circoscrivendo e neutralizzando l'eventuale danno possibile. L'efficacia delle protezioni DEP è già da qualche tempo stata ridotta dalla tecnica Return Oriented Programming, il nuovo toolkit Angler si basa su una tecnica differente che è più difficile da rilevaere, sebbene abbia qualche limitazione. La tecnica sembra infatti funzionare solamente su Windows 7 e non su Windows 10, che pare offrire una maggiore resistenza agli exploit. La tecnica, inoltre, opera solamente quando sul sistema bersaglio si trovano installati i plugin Flash o Silverlight.

Quanto scoperto sottolinea quanto la sicurezza informatica sia uno scenario mosso da un incedere ondivago: Microsoft ha creato EMET per bloccare un'intera classe di exploit memory-based che per decenni hanno minacciato l'integrità di numerosi sistemi. Ora Angler attacca con teciche che possono neutralizzare una parte di queste protezioni. Come naturale conseguenza è lecito attendere che le future versioni di EMET tenteranno di riacquistare il vantaggio inserendo misure capaci di contrastare queste nuove tecniche.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200607 Giugno 2016, 19:04 #1
Quando elimineranno Flash e Silverlight sarà sempre troppo tardi.
s0nnyd3marco07 Giugno 2016, 21:22 #2
Originariamente inviato da: Axios2006
Quando elimineranno Flash e Silverlight sarà sempre troppo tardi.


Ancora loro...
nobucodanasr08 Giugno 2016, 21:43 #3
Non basta tenerli disattivitai e attivarli solo all'occorrenza?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^