Los expertos de FireEye han descubierto algunos exploits de Angler Exploit Kit (EK) que están evadiendo la protección de EMET de Microsoft en sistemas con Windows 7.
Angler EK es un paquete de códigos de explotación de vulnerabilidades. Apareció en 2013 y es popular por sus técnicas evasoras para ser detectado por las soluciones de seguridad, variando los componentes que utiliza para explotar vulnerabilidades en HTML, JavaScript, Flash, Silverlight, Java y más.
Tocó ahora el turno a EMET la herramienta de Microsoft diseñada con tecnología de mitigación de vulnerabilidades en los sistemas Windows para prevenir que los atacantes obtengan acceso al computador. Para sistemas Windows 10 está disponible EMET 5.5, en tanto que para Windows 8, 7, Vista, y Windows Server existe EMET 5.2.
Los exploits de Angler EK que han evadido a EMET son para explotar vulnerabilidades de Adobe Flash y Microsoft Silverlight en Windows 7. Las tecnologías de mitigación evadidas son DEP (Data Execution Prevention), EAF (Export Address Table Filtering) y EAF+ (Export Address Table Access Filtering Plus).
Los expertos de FireEye concluyen que el nivel de sofisticación en el kit de explotación ha aumentado significativamente a través de los años. Donde la ofuscación y los nuevos día-cero fueron las únicas adiciones en el ciclo de desarrollo, el código evasivo ahora ha sido integrado en la el marco de referencia y código shell.
Se recomienda a las organizaciones mitigar esta amenaza implementando programas robustos para la gestión de vulnerabilidades para los sistemas de usuario final, incluyendo la instalación de las actualizaciones de seguridad para el software de terceros. No hay soluciones rápidas para las técnicas de evasión DEP, EAF y EAF+.
Las aplicaciones como Adobe Flash, navegadores web, y Oracle Java deben ser parchadas de forma rutinaria, priorizando los parches críticos, o eliminadas si es posible. Como el navegador web juega un rol importante en el proceso de infección, desactivar los complementos del navegador para Flash o Silverlight puede ayudar a reducir los ataques al navegador.