ชุดป้องกัน Enhanced Mitigation Experience Toolkit (EMET) ของไมโครซอฟท์ช่วยป้องกันมัลแวร์ที่เจาะผ่านช่องโหว่ของซอฟต์แวร์ด้วยมาตรการเพิ่มเติมหลายอย่างจนทำให้การเจาะเข้ามารันโค้ดในเครื่องทำได้ยากขึ้นมาก แต่ FireEye ก็รายงานว่าชุดซอฟต์แวร์สำหรับเจาะระบบ (Exploit Kit - EK) ที่ชื่อว่า Angler ก็สามารถเจาะผ่าน EMET ได้สำเร็จแล้ว

Angler รุ่นนี้สามารถเจาะทะลุมาตรการ Data Execution Prevention (DEP) ด้วยการใช้ฟังก์ชั่นของ Flash ใน Flash.ocx เองเพื่อเรียก VirtualProtect และ VirtualAlloc เพื่ออนุญาตให้รันโค้ดในหน่วยความจำส่วนที่ต้องการ

มาตรการ Export Address Table Filtering (EAF) และ EAF+ ใน EMET ช่วยป้องกันการสแกนหา API ที่โหลดขึ้นหน่วยความจำ แต่ Angler ก็สามารถค้น Import Address Table (IAT) ผ่านทางฟังก์ชั่นใน user32.dll ได้ และเมื่อได้แอดเดรสของฟังก์ชั่นทั้งหมดมาแล้วก็สามารถรันโค้ดต่อไปได้

ทาง FireEye ทดสอบปล่อยให้มัลแวร์รันบน Windows 7 ที่ติดตั้ง EMET 5.5 พบว่ามันสามารถติดตั้ง TeslaCrypt ได้สำเร็จ คำแนะนำในตอนนี้คือแม้จะติดตั้ง EMET แล้วก็ต้องหมั่นอัพเดตซอฟต์แวร์โดยจัดลำดับความสำคัญต่อช่องโหว่สำคัญๆ และหากทำได้ก็ให้ปิดการใช้งาน Flash หรือ Silverlight ไปเลย เพื่อลดความเสี่ยง

ที่มา - FireEye