headless 曰く、

Microsoftの脆弱性緩和ツール EMET (Enhanced Mitigation Experience Toolkit) の機能を利用してEMETを無効化する手法について、FireEyeが詳細を解説している(FireEye Blogsの記事、 The Registerの記事、 WinBetaの記事)。

EMETでは保護するすべてのプロセスに emet.dll または emet64.dll を注入し、Windows APIの呼び出しをフックすることで重要なAPIを呼び出すコードの分析を行う。ただし、EMETの内部には注入したDLLをプロセスからアンロードするためのコードが含まれている。このコードにはDllMainから到達可能であり、ROP(Return Oriented Programming)ガジェットを用いて適切な引数を渡すことによりEMETを完全に無効化できるとのこと。

ブログ記事の後半では、過去にMicrosoftが対策を行ったEMETのバイパス/無効化手法が紹介されているが、今回の手法は過去のいずれの手法よりも簡単に実行可能であり、テストしたバージョン(4.1/5.1/5.2/5.2.0.1)のEMETすべてに有効だったという。なお、この問題はEMET 5.5で対策済みとなっている。