Comment les pirates peuvent désactiver EMET

Microsoft décrit EMET comme un outil de sécurité qui ajoute une couche de protection supplémentaire pour défendre les applications tierces et patrimoniales. Il assure l’implémentation d’améliorations de sécurité telles que la prévention d’exécution de données (DEP) et l’allocation aléatoire de l’espace mémoire (ASLR), présentes dans les dernières versions de Windows mais pas forcément supportées par les versions plus anciennes – et les applications conçues pour ces dernières. Il ne s’agit pas d’un remplacement aux logiciels de protection contre les logiciels malveillants, ni aux listes blanches, ou encore à l’application de correctifs. Mais il rend la tâche plus difficile aux attaquants. Toutefois, si un attaquant peut exécuter du code sur un terminal compromis, le contournement d’EMET et d’autres protections n’est qu’une question de temps.

FireEye a découvert une vulnérabilité dans EMET 5.0, qui affecte également ses versions antérieures, et qui peut être utilisée pour le désactiver. Mais EMET doit intégrer les fonctionnalités nécessaires à sa désactivation lorsqu’il vient à causer des problèmes sur le poste de travail. Toutefois, il ne devrait pas pouvoir être désactivé facilement. Las, FireEye a décrit une nouvelle méthode consistant à changer une variable de configuration d’EMET 5.0 pour le désactiver. Microsoft propose une nouvelle version, la 5.5, qui corrige cette vulnérabilité.

En plus d’appliquer ce correctif – ce que toute entreprise utilisant EMET 5.0 devrait faire dans le cadre des pratiques de sécurité standard –, il est recommandé d’avoir en place des défenses en couches incluant des outils de sécurité classiques.

Il aurait été difficile pour Microsoft d’éviter ce problème. Et l’éditeur a fait de son mieux compte tenu des circonstances. Il a réagi rapidement à la découverte, corrigé la vulnérabilité, et revu ses pratiques de développement logiciel appliquées à EMET 5.0 pour déterminer si le bug aurait pu être prévenu. Mais compte tenu de la nature adaptative des chercheurs en sécurité et des pirates, dès qu’une protection est implémentée, elle est analysée à la recherche de vulnérabilités. Plus l’amélioration est importante, plus son analyse et son contournement prennent du temps, ce qui permet à la défense de renforcer la protection de ses terminaux.

Adapté de l’anglais.