Descubierto un fallo en el diseño del sistema de retrocompatibilidad de Windows 64 bits WoW64 que permitiría a un atacante evitar las medidas de seguridad de EMET y ejecutar diversos tipos de ataques como si este último no estuviera presente en el sistema.

emet logo

La retrocompatibilidad de Windows ha sido desde siempre uno de los aspectos que más valoramos sus usuarios. A nivel de seguridad informática esto siempre es un reto ya que mantener un sistema operativo que pueda mitigar las últimas técnicas de ataque mientras al mismo tiempo es capaz de ejecutar software antiguo es todo un reto. Aprovechando esto, investigadores de Duo Security han descubierto una técnica para evadir las defensas de EMET contra los exploits que utilizan la memoria de nuestro ordenador para actuar.

El problema se encuentra localizado en el sistema de Windows on Windows o WoW64 que se encarga de permitir ejecutar aplicaciones de 32 bits en sistemas de 64 bits. La muestra tomada por los investigadores indica, que cerca del 80% de los usuarios en el estudio usaban WoW64 al ejecutar procesos de 32 bits, lo cual les convierte en víctimas potenciales de este bug.

Según los investigadores no se trata de un bug en sí mismo sino de una limitación impuesta por la propia retrocompatibilidad que a su vez limita a los softwares como EMET en su función de evitar ciertos tipos de ataques, ya que una aplicación de 32 bits ejecutándose en un entorno de 32 bits actua de manera diferente a cuando se ejecuta bajo WoW64. Esto junto a la capacidad del procesador de cambiar entre modos de ejecución abre un buén número de opciones de ataque.

A pesar de este y otras amenazas que han surgido en los último tiempos contra EMET, este software sigue siendo totalmente recomendado y esencial para evitar que un buen número de ataques contra nuestra máquina puedan llegar a tener éxito. En las próximas semanas veremos la reacción de Microsoft a este paper y si son capaces de mantener la tan querida retrocompatibilidad aumentando al máximo la seguridad de nuestros sistemas.

Fuente Duos Security