Cuidado, Angler Exploit Kit supera las defensas de EMET

Los expertos del observatorio FireEye han comprobado como determinados ciberataques, que se benefician del popular kit de exploit Angler EK, están consiguiendo evadir la protección de seguridad desplegada por EMET, de Microsoft.

¿Qué es EMET?

El Conjunto de Herramientas de Mitigación Mejorada de Microsoft -EMET, para los amigos- es una suite gratuita ofrecida por Microsoft, que nos permite colocar una barrera de defensa adicional para hacer frente a vulnerabilidades (sobre todo 0 Days) que afecten a otros programas, para impedir que infecten archivos críticos del sistema Windows.

El caso es que, con el tiempo, los expertos han ido divisando métodos que permiten hacer bypass a la defensa de EMET. Ahora, según la firma FireEye, la nueva versión del Kit de Exploit Angler es capaz de desplegar exploits para Flash Player o Microsoft Silverlight, sin que EMET se entere de nada.

Los exploits observados por FireEye se aprovechan de las rutinas construídas en el plugin de Flash Player -componentFlash.ocx- y en el plugin de Silverlight -Coreclr.dll- usadas para invocar las funciones de gestión de memoria VirtualProtect y VirtualAlloc.

De esta forma, los exploits son capaces de saltarse estos dos mecanismos principales de defensa DEP (Data Execution Prevention), que se encarga de devolver validación basándose en heurística, antes de ejecutar el código del programa en cuestión.

Acerca de DEP

Data Execution Prevention es una mitigación desarrollada para prevenir la ejecución de código en ciertas partes de la memoria, protegiendo frente ataques como buffer overflow, que permitan a un programa operar fuera de su memoria asignada. Sin embargo:

La capacidad de Angler EK para evadir EMET y así explotar con éxito Flash y Silverlight es bastante sofisticada, en nuestra opinión. Estos exploits no utilizan la programación habitualmente orientada a evadir DEP. El kit de exploit Angler EK utiliza exploits que no usan el ROP (common return progrmming) habitual, usado para escapar a DEP. En su lugar, utiliza las rutinas propias de Flash.ocx y Coreclr.dll para desplegar VirtualProtect y VirtualAlloc, respectivamente. Además, se emplea el comando PAGE_EXECUTE_READWRITE, evadiendo así DEP y devolviendo la validación heurística.

Angler Exploit Kit supera las defensas de EMET

El Exploit de Flash utiliza las rutinas Flash.ocx para llamar a VirtualProtect para evadir DEP, antes de que se ejecute el código fuente. Dado que las validaciones heurísticas devueltas son evadidas utilizando las funciones del ActionScript y el motor de Silverlight, las comprobaciones ROP realizas por EMET no son efectivas.

Principales familias de malware desplegadas por Angler EK

Además, se ha descubierto que los exploits de Flash y Silverlight usados por una versión actualizada del Kit de Exploit Angler son capaces de superar las mitigaciones EAF (Tabla de filtrado de direcciones) y EAF+ que EMET utiliza para evitar que los atacantes averigüen en que porción de memoria se cargan los códigos.

En los ataques observados por FireEye, los delincuentes han usado esta variante de Angler. para superar las defensas de EMET y desplegar ransomware como Teslacrypt. El ataque funciona en Windows 7 con EMET 5.5, siendo esta la última versión de la herramienta de seguridad.

FireEye confirma que estos kit de exploit son cada vez más sofisticados, siendo mejorados cada día para aprovechar de forma efectiva las amenazas Día Cero, además de ocultarse cada vez mejor frente a las herramientas de seguridad.

En estos casos, lo recomendable es adoptar un programa robusto de gestión de vulnerabilidades, para así evitar este tipo de situaciones. Mantén tu software al día y despliega una suite de seguridad eficiente, sin olvidar las políticas de seguridad que debas establecer en cada caso.

 

Consultad el resto de la investigación en la web de FireEye.