L'utilitaire de sécurité EMET (Enhanced Mitigation Experience Toolkit) de Microsoft n'est pas complètement sûr, selon des chercheurs de Bromium, une société de sécurité. EMET peut appliquer une douzaine de mesures d'atténuation d'une attaque sur des programmes exécutés sur un PC. Ces mesures sont conçues pour bloquer des techniques souvent utilisées par les malwares comme le ROP (Return Oriented Programmation). L'équipe de Bromium a constaté que ces mesures peuvent être contournées si l'attaquant est suffisamment déterminé.
« Nous avons constaté qu'EMET était très bon pour bloquer les attaques en corruption de mémoire », souligne dans un blog Jared DeMott, chercheur principal chez Bromium. Il poursuit, « nous nous sommes demandés : est-il possible pour un hacker de trouver des techniques pour contourner les protections d'EMET ? Oui, nous en avons trouvé ». Jared DeMott n'est pas un inconnu, il a été un des trois finalistes du concours de sécurité BlueHat en 2012 organisé par Microsoft.
Une mise en garde sur les faiblesses d'EMET
Si d'autres chercheurs ont présenté des méthodes pour contourner certaines mesures d'EMET, l'équipe de DeMott revendique une méthode pour contourner toutes celles de la dernière version 4.1. Elle a synthétisé ses travaux dans un rapport de recherche et a fourni préalablement ses résultats à Microsoft. D'ailleurs, Jared DeMott indique que la firme de Redmond devrait s'inspirer des travaux des chercheurs dans la version 5 d'EMET.
Cependant, il explique qu'EMET souffre d'un problème plus profond pour arrêter efficacement les attaques. L'utilitaire fonctionne au niveau de l'espace utilisateur et non au niveau du noyau, souligne le rapport. « Notre étude montre que les technologies qui fonctionnent au même niveau que l'exécution du code malveillant peuvent généralement être contournées, car il n'y a pas d'avantages supérieurs sur ce terrain comme c'est le cas pour la protection du kernel ou d'un hyperviseur », constate le responsable. Microsoft reconnaît que si son outil est un obstacle supplémentaire pour rendre les attaques plus difficiles, il ne garantit pas que les failles ne puissent pas être exploitées. Pour Bromium, EMET reste un bon produit pour son prix, c'est-à -dire gratuit. La vraie question n'est pas de savoir si l'outil de sécurité peut être contourné, mais quelle est la valeur des données à protéger. « Pour une entreprise ayant des données critiques, EMET ne bloquera par des attaques ciblées », concluent les chercheurs.
L'outil de sécurité EMET de Microsoft contourné
Des chercheurs en sécurité ont réussi à contourner les protections déployées par EMET, l'outil d'atténuation des attaques de Microsoft.