Microsoft EMET, il tool non protegge gli utenti

Quando viene scoperta una vulnerabilità zero-day, in attesa della patch definitiva Microsoft suggerisce di installare il Fix it oppure l’Enhanced Mitigation Experience Toolkit (EMET), un software gratuito che dovrebbe proteggere gli utenti privati e aziendale da eventuali exploit. I ricercatori dei Bromium Labs hanno però scritto un codice che elude la protezione offerta da EMET.

Il tool è particolarmente indicato per i sistemi operativi più vecchi, come Windows XP, che non supportano le tecnologie avanzate presenti in Windows 7 o Windows 8.1. EMET infatti include protezioni (solo per processi a 32 bit) contro una tecnica hacker sempre più diffusa, denominata ROP (Return Oriented Programming) e sfruttata da malware che possono bypassare le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention). Lo studio effettuato dai Bromium Labs hanno però evidenziato che EMET non è uno strumento adeguato per garantire la massima sicurezza possibile.

Il codice proof-of-concept sviluppato dai ricercatori permette di eludere tutte le protezioni del tool. Il motivo principale di questa debacle risiede nel modo in cui viene eseguito. EMET opera infatti sullo stesso “piano di esecuzione” del malware e quindi le tecnologie integrate possono essere bypassate, in quanto non è possibile beneficiare dei vantaggi offerti dalle protezioni di livello kernel o hypervisor.

Microsoft ha ammesso che EMET 4.1 non è un tool perfetto (tra l’altro è pure gratuito). Tuttavia, l’azienda di Redmond ha promesso che terrà conto della ricerca dei Bromium Labs prima del rilascio di EMET 5.0 entro fine anno.