Los investigadores de
Offensive Security utilizaron un viejo exploit
que se aprovecha de una debilidad en la forma en la que IE 8 maneja los
objetos en memoria con el fin de eludir ASLR y DEP y lo alteraron para
desactivar la protección ofrecida por
EMET 4.1 update 1.
Dado que no conseguían eludir individualmente las técnicas de Heap Spray
y Stack Pivot, empezaron a pensar en una manera de
desactivar todos
ellos a la vez, mediante el desarme de EMET. Y encontraron una variable
global en la sección
".data" en
EMET.dll que puede activar o
desactivar todas las protecciones ROP implementadas por EMET.
"Esto requiere que el atacante construya una cadena de ROP que va a
recuperar de forma dinámica la dirección base de EMET.dll y sobrescribir
la variable global con un cero".
El código completo está públicamente disponible:
Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 4.1.X Bypass
En el vídeo se puede ver el
exploit en acción:
http://vimeo.com/99658866
Fuente:
HackPlayers