image

Microsoft wapent Windows tegen hackers met EMET 4.0

vrijdag 19 april 2013, 09:47 door Redactie, 17 reacties

Microsoft heeft een nieuwe versie van de gratis beveiligingstool EMET gelanceerd die Windows-gebruikers nog beter tegen aanvallen beschermt. EMET staat voor Enhanced Mitigation Experience Toolkit en zorgt ervoor dat verschillende technieken waarmee beveiligingslekken worden misbruikt niet meer werken. Windows beschikt zelf over verschillende verdedigingsmaatregelen.

Het gaat dan om technieken zoals Dynamic Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR). Veel programma's van derden maken hier geen gebruik van, waardoor het eenvoudiger wordt voor een aanvaller om een kwetsbaarheid te misbruiken.

Daarnaast voegt EMET ook verschillende nieuwe beveiligingsmaatregelen toe die nog niet standaard in Windows actief zijn. Hierdoor zouden computers tegen zero-day-aanvallen beschermd zijn en tegen exploits die misbruik maken van lekken waarvoor de gebruiker een beschikbare update niet heeft geïnstalleerd.

Certificaten
EMET 4.0 bevat een aantal grote verbeteringen. Zo is de tool in staat om aanvallen te detecteren waarbij verdachte SSL/TLS certificaten worden gebruikt. Daarnaast is de beveiliging aangescherpt, waardoor bepaalde manieren waardoor hackers en onderzoekers de beveiliging van EMET 3.5 konden omzeilen niet meer werken. Verder zijn nu meer applicaties compatibel met EMET

Twee andere nieuwe opties moeten meer inzicht in de omvang en werking van exploits geven. Het 'Early Warning Program' dat gebruikers kunnen inschakelen is vooral voor bedrijven bedoeld. Zodra EMET een exploit of aanval waarneemt, wordt er een waarschuwing naar een bedrijfsapplicatie en Microsoft gestuurd.

Onderzoek
Daarnaast is er nu ook een Audit Mode, die ervoor zorgt dat gebruikers een exploit in bepaalde gevallen toch kunnen laten doorgaan. Standaard zal EMET de applicatie sluiten als er een poging tot misbruik wordt gedetecteerd, maar door deze nieuwe optie kan de exploit z'n gang gaan, wat handig is voor onderzoekers.

Naast de grote verbeteringen zijn ook allerlei kleinere aanpassingen doorgevoerd, zoals betere rapportage-opties, betere prestaties en de mogelijkheid om processen te beschermen ook al hebben ze geen .exe extensie.

De bètaversie van EMET 4.0 is gratis en nu beschikbaar voor alle ondersteunde Windows-versies. De uiteindelijke versie verschijnt op 14 mei van dit jaar.

Reacties (17)
19-04-2013, 09:50 door [Account Verwijderd]
[Verwijderd]
19-04-2013, 10:13 door Mysterio
Door AnonymousSecurity: Ik gebruik al een hele tijd emet 3.5 en geen knelpunten ondervonden. Ik vind dit een heel goed initiatief van Microsoft.
EMET 3.5 is toch ook nog steeds in beta? Ik hou niet zo van beta-versies op de systemen dus ik draai overal 3.0

Ik vind het ook echt een mooie tool! In plaats van achteraf lekken dichten en malware detecteren is het ook wel prettig dat je preventief ook een flinke slag kan maken.
19-04-2013, 10:48 door Spiff has left the building
Door Mysterio:
EMET 3.5 is toch ook nog steeds in beta?
Ja. Daarvan komt dus blijkbaar geen definitieve versie, maar in plaats daarvan al op 14 mei de EMET 4.0 final.
Op de TechNet Blogs pagina wordt vermeld:

We plan to officially release EMET 4.0 on May 14, 2013.
[...]
This beta period is a short four weeks – we learned our lesson from the long EMET 3.5 Technical Preview about crisp timelines and short beta periods.

http://blogs.technet.com/b/srd/archive/2013/04/18/introducing-emet-v4-beta.aspx
19-04-2013, 11:32 door Anoniem
DEP en ASLR zijn leuke dingen maar als programmeur wil ik niet op de performance hangen van deze 'beta' software. Zeker geheugen intensieve en disk-io intensieve tools werken blah met deze opties aan (performance verlies van 90% is geen uitzondering, bovendien is de CPU heel snel op 100% load te krijgen maarbij met name op iNTEL systemen er gewoon niets meer te doen valt op de gui totdat de actie afgelopen is. (AMD heeft hier minder last van, mischien omdat de memory controller vaak dicht bij de CPU zit).

En welk probleem lost het op? Een niet lekker werkende oplossing van een OS voor een probleem van het OS.
19-04-2013, 13:25 door Anoniem
Vandaag n.a.v. dit artikel Emet 4.00 geïnstalleerd in Windows 7 en Vista en Net Framework 4.5 In Programma's en Onderdelen staat ook nog Emet 3.5. Kan ik Emet 3.5 verwijderen of moet dit aanwezig blijven? Groeten Jan Bolten.
19-04-2013, 15:11 door Spiff has left the building
Door Anoniem, 13:25 uur:
Vandaag n.a.v. dit artikel Emet 4.00 geïnstalleerd in Windows 7 en Vista en Net Framework 4.5
In Programma's en Onderdelen staat ook nog Emet 3.5.
Kan ik Emet 3.5 verwijderen of moet dit aanwezig blijven?
Groeten Jan Bolten.
De EMET v4.0 Beta User Guide vermeldt onder de FAQ:
Q: I have an old version of EMET installed. How do I upgrade to EMET 4.0 Beta?
A: It is recommended that you first uninstall the old version of EMET via Windows Control Panel, and then manually delete the HKLM\Software\Microsoft\EMET and HKLM\Software\Policies\Microsoft\EMET keys prior to running the EMET 4.0 Beta installer.
Het was wellicht aan te bevelen geweest EMET 3.5 Tech Preview te deïnstalleren vóór het installeren van 4.0 Beta.
Het nu nog verwijderen van de genoemde registry keys, dat lijkt me geen optie, en wellicht ook helemaal niet nodig.
Het nu nog deïnstalleren van EMET 3.5 Tech Preview dat is wellicht wél mogelijk, gezien het feit dat EMET 3.5 Tech Preview en EMET 4.0 Beta een andere map onder Program Files hebben. Probeer dat gewoon uit, lijkt me.
19-04-2013, 16:13 door [Account Verwijderd]
[Verwijderd]
19-04-2013, 16:20 door Spiff has left the building
Nog een detail waarmee EMET 4.0 Beta verschilt van de voorgaande versies:

Onder EMET 3.0 en 3.5 Tech Preview kunnen de EMET mitigations worden toegepast op een voorgeselecteerde reeks programma's via
EMET\ Configure Apps\ File\ Import\
C:\Program Files\EMET\Deployment\Protection Profiles\All.xml

Onder EMET 4.0 Beta worden gelijk automatisch (dat is nieuw) de EMET mitigations toegepast op een beperkte voorgeselecteerde reeks programma's. Als ik me niet vergis is dat het profiel "Recommended Software".
Een uitgebreider profiel is nu te selecteren via
EMET\ File\ Import settings\
C:\Program Files\EMET\Deployment\Protection Profiles\Popular Software.xml
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder
Configure Apps\ Appication Configuration\ Mitigations
Als je dat wenst kun je vervolgens eventueel de niet op het systeem aanwezige programma's verwijderen uit de selectie.
19-04-2013, 23:24 door Anoniem
Mischien een goed idee als Microsoft deze nieuwe EMET-versie gewoon verspreidt via windows upate? Wel zo gemakkelijk voor de gebruikers van windows .
20-04-2013, 02:26 door Spiff has left the building
Een 'onveilige' bug in EMET 4.0 Beta:

Het viel me afgelopen middag al op:
Onder EMET\ Configure System\ System Configuration
is onder "Custom Settings" en onder "Recommended Security Settings" voor ASLR de optie "ASLR Always On" beschikbaar in de instellingsopties, selecteerbaar via het ASLR dropdown-menuutje via het pijltje.
En met het profiel "Maximum Security Settings" wordt "ASLR Always On" zelfs direct ingeschakeld.

Dit is zeer onwenselijk, gezien het feit dat "ASLR Always On" een 'onveilige' optie is, die slechts na een registeraanpassing beschikbaar zou horen te zijn.

Uit de EMET v4.0 Beta User Guide:
5 Advanced Options
Enabling Unsafe Configurations


By default, EMET hides configuration options considered to be unsafe. These are options that have shown to cause system instability in common use scenarios. For users still wishing to configure these options, there is a registry override. After the override is applied, EMET will display the unsafe options, but will also warn the user whenever one of them is selected.

The override can be found in registry at HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET. If you do not see this key, launch the EMET GUI and refresh your view of the registry. Inside the key, there is a DWORD value called EnableUnsafeSettings. By default it has a value of 0. By setting it to 1 and restarting the EMET GUI, you can see the unsafe options.

With EMET, there is currently one unsafe option: the "Always On" setting for the system ASLR setting. Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
Blijkbaar is de 'onveilige' optie "ASLR Always On" in EMET v4.0 Beta per abuis beschikbaar zonder dat daartoe een registeraanpassing nodig is.
Een onwenselijke en zeer waarschijnlijk onbedoelde situatie.

Het fenomeen wordt ook al hier beschreven:
"EMET 4.0 Beta Possible Bug: Unsafe System Wide ASLR Always On Available By Default"
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b

Het zal vast wel verholpen worden in de 4.0 final,
maar de bèta is hiermee zeer duidelijk nog werkelijk een bèta-versie.

Uitkijken wat je inschakelt dus!
20-04-2013, 02:47 door [Account Verwijderd]
[Verwijderd]
20-04-2013, 12:02 door Spiff has left the building
Door Spiff, 02:26 uur:
Het viel me afgelopen middag al op:
Onder EMET\ Configure System\ System Configuration
is onder "Custom Settings" en onder "Recommended Security Settings" voor ASLR de optie "ASLR Always On" beschikbaar in de instellingsopties, selecteerbaar via het ASLR dropdown-menuutje via het pijltje.
En met het profiel "Maximum Security Settings" wordt "ASLR Always On" zelfs direct ingeschakeld.

Door Cantalibre, 02:47 uur:
Dit was in 3.0 ook al mogelijk, maar ASLR Always On zorgt voor een Blue Screen !
Zie dit filmpje http://www.youtube.com/watch?v=N9qCzBv3SN0
[Spaties voor en achter de url weggehaald door Spiff, anders werd de url onjuist aangeboden.]
In dat vermelde filmpje over EMET 3.0 betreft het de passage van 1:09 tot 2:11 die gaat over System Configuration settings en ASLR.
Er wordt op 1:13 aangegeven: "I chose Maximum Protection"
1:25: "The ASLR setting is gonna be set to Opt In, which is good"
1:33: "But if you do turn your ASLR setting to Always On, this may cause a problem for your computer which will cause a Blue Screen [...]"

Met de instelling EMET\ Configure System\ System Configuration\ Maximum Security Setting werd onder EMET 3.0 dus "ASLR Application Opt In" aangeboden en ingesteld. "ASLR Always On" werd niet standaard aangeboden met Maximum Security Setting, zo blijkt uit dat YouTube-filmpje.
Hetzelfde zie je hier weergegeven:
http://rationallyparanoid.com/articles/microsoft-emet-3.html
Onder EMET 4.0 echter, wordt met System Configuration\ Maximum Security Setting "ASLR Always On" wél standaard aangeboden, zoals hier weergegeven wordt:
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b
Dat is dus wel degelijk een verschil tussen EMET 3.0 en EMET 4.0 Beta.

En verder,
ik kan het nu niet toetsen doordat ik geen systeem met EMET 3.0 bij de hand heb,
maar het was mijn ervaring met EMET 3.0 en met EMET 3.5 Tech Preview dat de mogelijkheid om onder EMET\ Configure System\ System Configuration te kiezen voor "ASLR Always On" 'grayed out' was, grijs gedimd weergegeven en niet beschikbaar.
Nogmaals, ik kan dat nu niet toetsen, maar dat is zoals ik het me herinner van EMET 3.0.
Ik kan me daarmee uiteraard vergissen.
Zou "ASLR Always On" wél te kiezen zijn via EMET\ Configure System\ System Configuration (ook al onder EMET 3.0), dan zou dat in tegenspraak zijn met de EMET User Guide die aangeeft dat het kiezen voor de onveilige optie "ASLR Always On" pas mogelijk is na een registeraanpassing die die onveilige optie beschikbaar maakt.
20-04-2013, 14:38 door [Account Verwijderd]
[Verwijderd]
21-04-2013, 00:03 door Spiff has left the building
Dat wat ik vermeldde gisteren om 02:26 uur,
het feit dat in EMET 4.0 Beta de optie "ASLR Always On" beschikbaar is in de instellingsopties, terwijl dat slechts na een registeraanpassing beschikbaar zou horen te zijn,
dat heb ik gemeld aan EMET Feedback <emet_feedback@microsoft.com>
Ik nam aan dat het al gemeld was, gezien het feit dat het op meerdere plekken online al vermeld wordt:
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b
http://www.wilderssecurity.com/showthread.php?p=2219263#post2219263
maar ik meldde het zekerheidshalve toch maar even.

Hetzelfde geldt voor het verschijnsel dat ingelogd in een Standaardgebruikersaccount bij het openen van de EMET 4.0 Beta GUI een melding verschijnt "EMET Agent status: not running".
Die melding verschijnt niet wanneer de EMET 4.0 Beta GUI geopend wordt in een Administrator-account.
Dat wordt ook hier vermeld:
http://www.wilderssecurity.com/showthread.php?p=2218877#post2218877

In slechts enkele minuten na mijn feedback reageerde Microsoft al:
"We are aware of both issues and we are looking into those.
Please let me know if you find other issues with the beta, we are happy to receive feedback."

Die twee issues zullen dus wellicht opgelost worden met de EMET 4.0 final.
21-04-2013, 11:15 door Spiff has left the building
Door Anoniem, vr.19-4, 23:24 uur:
Mischien een goed idee als Microsoft deze nieuwe EMET-versie gewoon verspreidt via windows upate?
Wel zo gemakkelijk voor de gebruikers van windows.
Met deze EMET 4.0 Beta zal dat uiteraard niet gebeuren, net als met de voorgaande EMET 3.5 Tech Preview,
omdat het bèta's zijn.

De EMET 4.0 final zou voor wie al een eerdere EMET versie gebruikt eventueel wél als optionele update aangeboden kunnen worden via Microsoft Update (Windows Update met Microsoft Update ingeschakeld, "Updates voor andere Microsoft producten").
Maar of dat mogelijk gebeurt, of niet, daar heb ik geen enkel idee van. Ik ken echter geen enkel (eerder) bericht dat het aanbieden van EMET via Microsoft Update vermeldt, dus het lijkt vooralsnog beslist weinig waarschijnlijk.

Mocht iemand merken dat vanaf 14 mei EMET 4.0 final eventueel werkelijk als optionele update wordt aangeboden via Microsoft Update, dan zou dat interessant zijn.
21-04-2013, 23:29 door [Account Verwijderd]
[Verwijderd]
22-04-2013, 01:38 door Spiff has left the building
Door Cantalibre, zo.21-4, 23:29 uur:
Het is ook al raar dat we zelf de 3.0 moeten verwijderen, alvorens de 4.0 binnen te halen.
Dat geldt voor het overschakelen van EMET 3.0 (final) naar de bètaversies EMET 3.5 Tech Preview en 4.0 Beta, en voor het overschakelen van een bèta naar een final versie.
Of dit ook gold bij de update van EMET 2.0 naar EMET 3.0, en binnenkort geldt bij update van EMET 3.0 naar EMET 4.0 final, dat is me niet bekend.
Is het zo dat ook bij updaten van EMET 3.0 naar EMET 4.0 final geldt dat de gebruiker zelfstandig de oude versie dient te verwijderen, dan is dat inderdaad wat ongepolijst. Als dat zo is, dan is dat enkel te verdedigen met het feit dat EMET nog steeds vooral op de meer dan gemiddeld technisch vaardige gebruiker is gericht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.