پژوهشگران میگویند: «این کد به صورت هدفمند حفاظت EMET را غیرفعال میکند و آن را به وضعیت غیرفعال و محافظتنشدهی آن در گذشته برمیگرداند.»
کارشناسان امنیتی شرکت فایرآی از مخازن دفاعی ابزار امنیتی مایکروسافت، EMET، به صورتی معکوس برای حمله علیه خود آن استفاده کردند.
به گزارش تکنــــــــــــــازدانلود : به
عبارت دیگر، آنها راهی را پیدا کردند تا این ابزار کاهش خطر بهبودیافتهی
مایکروسافت را با استفاده از خود همین ابزار غیرفعال کنند. EMET به تزریق
دفاع ضدبدافزاری در نرمافزارهای ویندوز میپردازد و رفتارهای مشکوک را
پیگیری میکند.
ویندوز ۱۰ هم برای صرفهجویی در برخی از ابزارهای جدید اضافهشده در خود از
آخرین نسخهی ۵٫۵ این ابزار استفاده میکند که اکنون در دسترس است. هنگامی
که ضعف این ابزار توسط محققان آشکار شد، این ابزار مورد اصلاح قرار گرفت.
این دو نفر میگویند که تحقیقات آنها قسمتی از کدهای EMET را هدف قرار
داده که برای غیرفعالسازی آن استفاده میشود. هنگامی که یک نفوذگر کدی را
درون نرمافزار اجرا میکند، او میتواند عملکردی را درون EMET فراخوانی
کند و یا آن را غیرفعال کند. کار به همین سادگی است.
پژوهشگران میگویند: «این کد به صورت هدفمند حفاظت EMET را غیرفعال
میکند و آن را به وضعیت غیرفعال و محافظتنشدهی آن در گذشته
برمیگرداند.»
«یک نفر به راحتی باید این کد را پیدا کرده و عملکرد آن را برای غیرفعال
کردن این ابزار امنیتی فراخوانی کند. فرار از این عملکرد منجر به
فراخوانیهای بعدی میگردد که تلهی حفاظتی EMET را از بین میبرند.»
برخی از دور زدنهای گذشتهی این ابزار، روی بهرهبرداری از ایرادها و
نقایص در قابلیتهای آن صورت گرفته است تا بر ساز و کار حفاظت این ابزار
غلبه شود.
در مقابل، محققان عملکردهای حفاظتی EMET را برمیگرداند.
آنها میگویند: «این روش جدید از EMET برای برداشتن حفاظت EMET استفاده
میکند. این شیوه قابل اطمینان است و کاملاً سادهتر از هر نوع
غیرفعالسازی دیگر این ابزار است که در گذشته منتشر شده است.»