Angler, l'exploit che scavalca le contromisure EMET di Microsoft

I ricercatori di sicurezza di FireEye hanno individuato un nuovo toolkit malevolo capace di scavalcare EMET, le contromisure sviluppate da Microsoft e pensate per bloccare intere classi di attacchi capaci di fare leva sulle vulnerabilità del sistema operativo o dei programmi installati.

Acronimo di Enhanced Mitigation Experience Toolkit, EMET è stato considerato come uno dei modi più efficaci per irrobustire i sistemi Windows contro quel genere di attacchi che sfruttano gravi vulnerabilità presenti nel sistema operativo o nelle applicazioni, attacchi a loro volta spesso usati come veicolo di infezione per ransomware e cryptovirus.

I ricercatori di sicurezza hanno individuato in Angler, un toolkit malevolo in vendita online, una serie di exploit capaci di perforare le difese di EMET: si tratta del primo caso individuato "in the wild". Sottolineano i ricercatori: "I kit exploit sono divenuti molto sofisticati nel corso degli anni. Laddove le tecniche di offuscamento e le vulnerabilità zero-day erano le uniche aggiunte al ciclo di sviluppo, ora si osserva anche l'uso di codice evasivo che viene integrato nel framework e nello shellcode".

I nuovi exploit che sono stati individuati dai ricercatori fanno uso di codice basato sui plugin Flash e Silverlight, allo scopo di bypassare le misure di Data Execution Prevention, una misura che previene l'esecuzione di codice malevolo in determinate parti della memoria, circoscrivendo e neutralizzando l'eventuale danno possibile. L'efficacia delle protezioni DEP è già da qualche tempo stata ridotta dalla tecnica Return Oriented Programming, il nuovo toolkit Angler si basa su una tecnica differente che è più difficile da rilevaere, sebbene abbia qualche limitazione. La tecnica sembra infatti funzionare solamente su Windows 7 e non su Windows 10, che pare offrire una maggiore resistenza agli exploit. La tecnica, inoltre, opera solamente quando sul sistema bersaglio si trovano installati i plugin Flash o Silverlight.

Quanto scoperto sottolinea quanto la sicurezza informatica sia uno scenario mosso da un incedere ondivago: Microsoft ha creato EMET per bloccare un'intera classe di exploit memory-based che per decenni hanno minacciato l'integrità di numerosi sistemi. Ora Angler attacca con teciche che possono neutralizzare una parte di queste protezioni. Come naturale conseguenza è lecito attendere che le future versioni di EMET tenteranno di riacquistare il vantaggio inserendo misure capaci di contrastare queste nuove tecniche.