EMET - Enhanced Mitigation Experience Toolkit - est un outil de sécurité proposé gratuitement par Microsoft. Principalement à destination des entreprises (les particuliers peuvent aussi l'utiliser), il aide à réduire les risques d'exploitations de vulnérabilités 0-day dans Windows ou pour des vulnérabilités connues pour lesquelles les correctifs disponibles n'ont pas encore été appliqués.

HackerÀ cet effet, plusieurs technologies sont à gérer et à ajouter depuis une interface. Elles complexifient les exploitations. Ce bouclier de protection vient cependant de prendre un coup de massue. La société de sécurité FireEye détaille de nouveaux exploits qui permettent de contourner des protections supplémentaires apportées par EMET sur Windows 7. Un système d'exploitation encore très utilisé.

Le gros point noir est que même si ces exploits sont assez sophistiqués, ils sont dans l'arsenal du kit d'exploits Angler qui est l'un des outils favoris des cybercriminels pour des attaques de type drive-by (attaques Web aboutissant au téléchargement automatique d'un malware). En l'occurrence, ils s'appuient sur Flash Player et Silverlight pour injecter le ransomware TeslaCrypt.

Certes, pour ce ransomware particulier, la menace n'est plus aussi élevée depuis que ses auteurs ont rendu publique la clé maître pour déchiffrer les fichiers pris en otages. Néanmoins, il est toujours utilisé dans des attaques et TeslaCrypt n'est peut-être qu'un premier exemple de charge utile.

Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions et se jouer d'une protection comme DEP (Data Execution Prevention) avant l'exécution du shellcode. Les exploits peuvent également contourner des protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).

Le conseil de FireEye ne révolutionne cependant pas le genre. " Des applications comme Adobe Flash, les navigateurs Web et Oracle Java devraient être mises à jour régulièrement, les correctifs critiques priorisés, ou supprimées si possible. […] La désactivation des plugins pour Flash ou Silverlight pour les navigateurs peut également diminuer la surface d'attaque. "

Le fait est que les entreprises ne peuvent plus se reposer sur EMET dans l'attente de déployer les mises à jour disponibles.