В инструменте, защищающем от эксплоитов, нашли эксплоит

Хакеры могут запросто выключить Microsoft Enhanced Mitigation Experiense Toolkit (EMET), бесплатную утилиту, которую компании используют для защиты своих компьютеров и приложений от эксплоитов. Эту уязвимость обнаружили специалисты из компании FireEye. Она присутствует во всех версиях, кроме актуальной 5.5, так что советуем всем обновиться.

Суть уязвимости следующая — в EMET есть механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Он используется, когда нужно быстро снять защиту с какого-либо процесса. Полностью защиту может отключить обработчик DllMain с кодом выгрузки DLL_PROCESS_DETACH. Однако emet.dll не перехватывает функцию kernel32!GetModuleHandleW, а значит, шелл-коду достаточно вызвать GetModuleHandleW, получить адрес загрузки Dll в память, затем вызвать DllMain и передать ему это значение и константу выгрузки.

Иными словами, для эксплуатации уязвимости достаточно следующего вызова: BOOL WINAPI DllMain (GetModuleHandleW("EMET.dll"), DLL_PROCESS_DETACH, NULL);

Пётр Соковых, транслятор двоичного кода в русский язык