EMETの内部にあるコードを利用して、EMETを簡単に迂回あるいは無効化できてしまう脆弱性が発覚した。
セキュリティ企業のFireEyeは2月23日、米Microsoftの脆弱性緩和ツール「EMET」を簡単に迂回あるいは無効化できてしまう攻撃手法を発見したと報告した。リモートの攻撃者にシステムを制御される可能性もあるとされ、Microsoftは1月29日に公開した更新版の「EMET 5.5」でこの脆弱性を修正している。
FireEyeのブログによると、EMETの内部には、EMETによる保護を体系的に無効化するためのコードが存在している。その目的はプログラムを元の状態に戻すことにあるが、この機能の場所を特定して呼び出すだけで、EMETを完全に無効にできてしまうことが分かった。
攻撃は、過去に発覚した解決済みの脆弱性「CVE-2012-1876」を悪用する手口と組み合わせて実行され、EMET 4.1、5.1、5.2、5.2.0.1の全バージョンに対して通用することを確認したという。FireEyeでは「EMETを使ってEMETの保護を解除する今回の手口は、これまで公開されていたEMET無効化や迂回の手口に比べ、はるかに簡単で確実性が高い」と解説している。
Copyright © ITmedia, Inc. All Rights Reserved.