Способ обхода программного комплекса для предотвращения использования уязвимостей Microsoft EMET был обнаружен исследователями из FireEye Абдулаллой Альсахилом и Раджавом Панде. Оказалось, что обход EMET может быть осуществлен с помощью самого EMET.
Как утверждают исследователи, в EMET есть функционал, который позволяет отключить защиту, предоставляемую программным комплексом. После того, как возможность выполнения произвольного кода внутри защищенного приложения была получена хакером, он может воспользоваться данной функцией и преодолеть защиту EMET.
По словам специалистов, код производит отключение средств защиты EMET и возврат приложения в незащищенное состояние. Нужно только найти и воспользоваться необходимой функцией.
В рамках более ранних методов обхода EMET обычно использовались уязвимости или функции, которые отсутствуют в утилите. Исследователи смогли произвести полное отключение защиты путем применения одной из встроенных функций программы с помощью метода возвратно-ориентированного программирования.
Проблему удалось исправить в версии EMET 5.5, которая вышла в начале февраля текущего года.