Des exploits Flash et Silverlight contournent EMET sur Windows 7

Le par  |  15 commentaire(s)
bombe

Le rempart EMET de Microsoft prend du plomb dans l'aile. Des exploits intégrés au kit Angler contournent ses protections supplémentaires sur Windows 7. Ils s'appuient sur Flash Player et Silverlight.

EMET - Enhanced Mitigation Experience Toolkit - est un outil de sécurité proposé gratuitement par Microsoft. Principalement à destination des entreprises (les particuliers peuvent aussi l'utiliser), il aide à réduire les risques d'exploitations de vulnérabilités 0-day dans Windows ou pour des vulnérabilités connues pour lesquelles les correctifs disponibles n'ont pas encore été appliqués.

HackerÀ cet effet, plusieurs technologies sont à gérer et à ajouter depuis une interface. Elles complexifient les exploitations. Ce bouclier de protection vient cependant de prendre un coup de massue. La société de sécurité FireEye détaille de nouveaux exploits qui permettent de contourner des protections supplémentaires apportées par EMET sur Windows 7. Un système d'exploitation encore très utilisé.

Le gros point noir est que même si ces exploits sont assez sophistiqués, ils sont dans l'arsenal du kit d'exploits Angler qui est l'un des outils favoris des cybercriminels pour des attaques de type drive-by (attaques Web aboutissant au téléchargement automatique d'un malware). En l'occurrence, ils s'appuient sur Flash Player et Silverlight pour injecter le ransomware TeslaCrypt.

Certes, pour ce ransomware particulier, la menace n'est plus aussi élevée depuis que ses auteurs ont rendu publique la clé maître pour déchiffrer les fichiers pris en otages. Néanmoins, il est toujours utilisé dans des attaques et TeslaCrypt n'est peut-être qu'un premier exemple de charge utile.

Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions et se jouer d'une protection comme DEP (Data Execution Prevention) avant l'exécution du shellcode. Les exploits peuvent également contourner des protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).

Le conseil de FireEye ne révolutionne cependant pas le genre. " Des applications comme Adobe Flash, les navigateurs Web et Oracle Java devraient être mises à jour régulièrement, les correctifs critiques priorisés, ou supprimées si possible. […] La désactivation des plugins pour Flash ou Silverlight pour les navigateurs peut également diminuer la surface d'attaque. "

Le fait est que les entreprises ne peuvent plus se reposer sur EMET dans l'attente de déployer les mises à jour disponibles.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1901992
Flash, tout le monde te déteste et tes failles nous le rabâche.
Flash, tu es aussi aimer que la coquille d'une pistache.

Petit alexandrin du matin
Le #1901997
Débats stériles et hors sujets dans 3 ... 2 ... 1 ...
Le #1901998
Rymix a écrit :

Flash, tout le monde te déteste et tes failles nous le rabâche.
Flash, tu es aussi aimer que la coquille d'une pistache.

Petit alexandrin du matin



Le #1902008
Encore et toujours flash... Quelle saleté ce truc
Le #1902023
C'est bientôt fini avec Flash les gars, sa disparition va s’accélérer à la vitesse de la lumière
Le #1902131
Silverlight aussi est une belle bouse bien fermée.
Le #1902154
mouarf76 a écrit :

Silverlight aussi est une belle bouse bien fermée.


Dans les deux cas, c'est de la merde oui
Le #1902350
mouarf76 a écrit :

Silverlight aussi est une belle bouse bien fermée.


Ca fait longtemps que je ne l'ai pas vu passer celui-là. Il est mort avant d'être né
Le #1902782
Mytf1, par exemple, impose cette bouse pour voir ses replay grâce à un accord avec MS. Des millions de français utilisent donc régulièrement ce protocole fermé, obligeant à avoir Windows ou à être un gros nerd et faire tourner ça via Wine et pipelight. Merci Adobe et MS pour les technologies de m**** et les accords de lobby à la c**.

Vive html5, ouvert, léger et sûr.
Le #1902784
mouarf76 a écrit :

Mytf1, par exemple, impose cette bouse pour voir ses replay grâce à un accord avec MS. Des millions de français utilisent donc régulièrement ce protocole fermé, obligeant à avoir Windows ou à être un gros nerd et faire tourner ça via Wine et pipelight. Merci Adobe et MS pour les technologies de m**** et les accords de lobby à la c**.

Vive html5, ouvert, léger et sûr.


Bah sous Linux tu installes Chrome pour Netflix, en mettant à jour tout ce qu'il y a dans chrome://components et voilà, pas besoins d'être un nerd.


Sinon j'ai essayé les méthodes avec le sudo apt-get install pipelight-multi pour installer l'application et les dépendances pour faire tourner Netflix et en installant aussi en plus un fake user agent sous Firefox mais honnêtement c'est une misère et je n'ai jamais réussis à le faire tourner comme ça. Après j'ai du faire un sudo apt-get --purge remove pipelight-multi pour virer toute les mer*** qu'il avait installé... Que de temps perdu...

Mieux vaut le navigateur Chrome pour Netflix au moins ça marche nickel.


Peace.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]