Onderzoekers zijn erin geslaagd de EMET-beveiligingstool van Microsoft te omzeilen door een Windowsonderdeel aan te vallen dat wordt gebruikt om 32-bits software op een 64-bit besturingssysteem te laten draaien. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voorziet Windows en applicaties van een extra beveiligingslaag.

Deze extra laag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Onderzoekers van Duo Security hebben echter een manier gevonden (pdf) om de beveiliging van EMET te omzeilen. De aanval is mogelijk door het WoW64-subsysteem van Windows.

Dit systeem fungeert als een compatibiliteitslaag tussen 32-bit software en 64-bit Windowsversies. Hoewel de meeste Windowsversies inmiddels 64-bit zijn, gebruiken de meeste internetgebruikers nog steeds 32-bit browsers. Uit onderzoek van Duo Security blijkt dat 80% van de browsers op 64-bit Windowsversies een 32-bit proces is. Om deze browsers op een 64-bit systeem te kunnen gebruiken wordt de "Windows on Windows” (WoW) laag gebruikt.

De beveiligingsmaatregelen die EMET biedt zijn in het WoW64-subsysteem minder effectief. In het geval van de aanval die Duo Security ontwikkelde kan er uiteindelijk een 64-bit versie van een dll-bestand worden aangevallen, terwijl WoW64 ervoor zorgt dat EMET alleen de 32-bit versie van het bestand beschermt. Om dit probleem te verhelpen zou Microsoft grote veranderingen aan de werking van EMET moeten doorvoeren.

Advies

Ondanks de succesvolle aanval stellen de onderzoekers dat EMET nog steeds een belangrijk onderdeel van een beveiligingsstrategie is. Daarnaast adviseren ze ook het gebruik van 64-bit software, omdat dit sommige onderdelen van misbruik iets lastiger maakt en andere beveiligingsvoordelen biedt. Gebruikers en beheerders krijgen dan ook het advies om waar mogelijk echte 64-bit software op 64-bit Windowsversies te draaien.