Microsoft EMET succesvol tegen zero-day aanvallen
De gratis Microsoft tool die oude Windows applicaties van moderne beveiligingsmaatregelen zoals DEP en ASLR voorziet, blijkt succesvol tegen zero-day aanvallen te zijn. Volgens de softwaregigant biedt de Enhanced Mitigation Experience Toolkit (EMET) de mogelijkheid om beveiligingsmaatregelen aan willekeurige applicaties toe te voegen. Dit zou hackeraanvallen moeten voorkomen.
"Klinkt een beetje te mooi om waar te zijn, niet? Toch is het wel. Het beschermt kwetsbare applicaties tegen misbruik, zelfs zero-day aanvallen", zegt John Sawyer. Hij testte kwetsbare versies van Adobe Acrobat, Flash en Java in combinatie met EMET en ontdekte dat geen van de gebruikte zero-day exploits meer werkte. Hij merkt op dat Microsoft EMET niet officieel ondersteunt, waardoor het niet eenvoudig is voor bedrijven om in de gehele onderneming uit te rollen.
Iemand er ervaring mee?
Iemand er ervaring mee?
Dat is dus nog niet goed getest, daarom is het ook niet ondersteunt. Het enige wat bekend is, is dat het forceren van ASLR op alle processen bij een incompitabele videodrivers bij het opstarten BSOD's veroorzaakt, en de enige manier daarom heen is veilige modus en dan het forceren weer uitzetten. Deze optie is daarom dan ook standaard verborgen.
Verder zitten de 2 grootste technieken(DEP en ASLR) wel standaard in Windows(iig Vista en 7, XP ondersteund geen ASLR) en staan ze voor Microsoft processen en services wel standaard aan, maar veel 3rd party dev's bouwen in hun software geen ondersteuning in. Met deze tool kan je dat dus wel forceren en ook nog een aantal andere technieken die niet ingebouwd zijn. Zoals je je dus misschien wel kunt voorstellen kan dat comptitabiliteitsproblemen veroorzaken en is dat vooral op grote schaal in bedrijven erg ongewenst.
Maar ik heb het in gebruik voor Java en Adobe Reader en het werkt prima, ik heb er geen problemen mee ondervonden.
Maar vanwege het support issue wordt het niet door enterprises opgepakt.
Sommige oudere applicaties werken niet goed met DEP of ASLR, dus als EMET dit afdwingt, werken deze applicaties niet.
Ook bij de heap-spray prevention kan ik begrijpen wat er fout kan gaan. EMET reserveert een aantal geheugen pagina's die vaak worden misbruikt, zoals 0x01010101, 0x02020202, ... Dus als een programma één van deze pagina's echt nodig heeft, dan loopt het ook fout. Opmerking: de te beschermen geheugen adreses staan in de registry, en kunnen aangepast worden.
En zelf ben ik mijn eigen EMET-achtige tool aan het ontwikkelen, HeapLocker. Voor een screenshot: http://twitpic.com/2skdpc
Waarom moet alles tegenwoordig toch een "experience" zijn? Ik ben helemaal voor het verlagen van risico's, maar een verbeterde verlagingservaringsgereedschapskist klinkt niet als wat ik zoek. Zo'n naam suggereert dat de ervaring wordt aangepakt in plaats van de risico's zelf. Het doet me denken aan onze overheden die altijd bezig zeggen te zijn met het bestrijden van het gevoel van onveiligheid; dan vraag ik me telkens af of ze zich niet beter kunnen richten op bestrijden van daadwerkelijke onveiligheid. Als je je er maar goed bij voelt, het als goed ervaart, is het feitelijke resultaat niet belangrijk, is de boodschap die dergelijke formuleringen altijd op me overbrengen. Gemoederen sussen in plaats van de problemen aanpakken, kwaliteit suggereren in plaats van kwaliteit bieden.
Ik heb geen reden om aan te nemen dat dit werkelijk is wat er gaande is, voor hetzelfde geld werkt EMET fantastisch. Maar Microsoft, geef het dan niet zo'n wollige naam die een mogelijk gebrek aan kwaliteit suggereert...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.