Una de las mayores fortalezas del sistema operativo Windows es la compatibilidad con versiones anteriores. Muchos programas clásicos de la era de DOS o los primeros días de Windows todavía funcionan bien en las versiones modernas de Windows.
Junto con la fortaleza viene una debilidad, ya que los exploits pueden apuntar a estos sistemas heredados.
Investigadores en Seguridad Duo descubrió un problema en el kit de herramientas de experiencia de mitigación mejorada (EMET) de Microsoft que les permite evitar la protección que agrega al sistema mediante el uso de WoW64 capa de compatibilidad proporcionada por las versiones de 64 bits de Windows.
WoW, o Windows en Windows, permite que las aplicaciones de 32 bits se ejecuten en máquinas de 64 bits. Si bien la mayoría de los sistemas Windows en estos días son máquinas de 64 bits, muchos de los programas que se ejecutan en estas máquinas no lo son.
WoW64 es parte de todas las versiones de 64 bits de Windows, incluidas Windows 7, Windows 8.1 y Windows 10, así como todas las ediciones de servidor del sistema operativo.
El subsistema WoW64 comprende una capa de compatibilidad ligera que tiene interfaces similares en todas las versiones de Windows de 64 bits. Su objetivo es crear un entorno de 32 bits que proporcione las interfaces necesarias para ejecutar aplicaciones de Windows de 32 bits sin modificar en un sistema de 64 bits.
Para los navegadores web, por ejemplo, los investigadores descubrieron que el 80% siguen siendo procesos de 32 bits que se ejecutan en la máquina host de 64 bits, el 16% son procesos de 32 bits ejecutados en hosts de 32 bits y solo el 4% son verdaderos procesos de 64 bits. procesos de bits (basados en una muestra de una semana de datos de autenticación del navegador para sistemas Windows únicos).
Un hallazgo fundamental fue que EMET las mitigaciones son mucho menos efectivas en el subsistema Wow64 y ese cambio requeriría modificaciones importantes en el funcionamiento de EMET.
Los investigadores son conscientes del hecho de que las mitigaciones de EMET se han revelado antes, pero la mayoría trata sobre eludir las mitigaciones de forma individual. Su método, por otro lado, les permite omitir toda la ejecución de carga útil / shellcode y mitigaciones relacionadas con ROP de una «forma genérica e independiente de la aplicación, utilizando la capa de compatibilidad WoW64 proporcionada en las ediciones de 64 bits de Windows».
Un trabajo de investigación está disponible en formato PDF. Puede descargarlo desde el Seguridad Duo sitio web directamente.
Probablemente se esté preguntando qué es la comida para llevar. Los investigadores sugieren utilizar aplicaciones nativas de 64 bits siempre que estén disponibles las versiones de 32 y 64 bits de un programa.
La razón principal de esto es que los binarios de 64 bits ofrecen beneficios de seguridad y dificultan «algunos aspectos de la explotación».
Los investigadores siguen recomendando EMET, ya que «sigue elevando el listón de la explotación» y «sigue siendo una parte importante de una estrategia de defensa en profundidad».
Ahora tu: ¿Ejecuta EMET u otro software de mitigación en Windows?