Обойдены меры по снижению ROP


Всякий раз, когда вы улучшаете свое защитное ограждение, специализированный злоумышленник найдет другой путь. Это уже произошло с последней версией набора средств защиты от взлома Microsoft, тем самым побеждая защиту ROPGuard, которая выиграла приз в размере 50 000 долларов.

Премия Microsoft BlueHat Prize за защиту от атак на уязвимости памяти была организована в связи с ежегодной конференцией BlackHat. Три победителя предложили все решения для противодействия ROP-атакам, и еще до вручения призов одно из них было задействовано в бесплатном инструменте, который Microsoft предоставляет системным администраторам.

Генеральный менеджер Microsoft по безопасности надежных вычислений Мэтт Томлинсон объявил 25 июля о последней версии своего Enhanced Mitigation Experience Toolkit (EMET 5.3), заявив:

Рад сообщить, что мы уже смогли включить одну из этих успешных технологий в нашу бесплатную предварительную версию Enhanced Mitigation Experience Toolkit (EMET) 3.5. Новая техническая версия EMET предлагает четыре новых проверки, основанных на средствах защиты от эксплойтов ROP Ивана Фратрика, чтобы помочь предотвратить атаки с использованием методов ROP.

Прошло всего две недели, прежде чем исследователь безопасности объявил в своем новом блоге REP RET, что он обошел эти новые средства защиты от ROP. Вот видео на YouTube, демонстрирующее этот эксплойт:

Более подробную информацию, в том числе код asm и метод Kernelbase, используемый для второго эксплойта, можно найти в сообщении в блоге.


Добавить комментарий