Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firefox 27.0.1 wordt gestopt door EMET 4.1

15-02-2014, 18:24 door Anoniem, 21 reacties
Zojuist heb ik EMET 4.1 geinstalleerd volgens de 'popular software' instellingen. Het blijkt nu, dat
Firefox 27.0.1 wordt gestopt door EMET 4.1

Weet iemand een oplossing?

Hartelijk dank voor de hulp
Reacties (21)
15-02-2014, 19:33 door Spiff has left the building - Bijgewerkt: 16-02-2014, 11:06
Door Anoniem, 18:24 uur:
Zojuist heb ik EMET 4.1 geinstalleerd volgens de 'popular software' instellingen.

Als ik je goed begrijp heb je het relatief beperkte standaard Protection Profile "Recommended Software" vervangen door het uitgebreidere profiel "Popular Software" (of dat erbij gezet, met hetzelfde effect).
Firefox is niet opgenomen in het standaard Protection Profile "Recommended Software", maar wel in het uitgebreidere profiel "Popular Software".

Ik heb er zelf niet eerder van vernomen dat Firefox zomaar wordt gestopt door EMET (maar dat zegt niets).

Om meer zicht in je situatie te krijgen:

0. Begrijp ik je goed, wanneer ik uit je beschrijving begrijp dat je het standaard Protection Profile "Recommended Software" hebt vervangen door het uitgebreidere profiel "Popular Software" (of dat profiel erbij hebt gezet)?
(via EMET\ Import:
kies: C:\Program Files\EMET 4.1\Deployment\Protection Profiles\Popular Software.xml)
1. Welke Windows-versie gebruik je? (XP, Vista, 7, 8, of 8.1?)
2. Wat is precies de gegenereerde melding bij het stoppen van Firefox?
3. Heb je naast het toepassen van het Protection Profile "Popular Software" nog ándere instellingen gemaakt in EMET?
(Om een idee te krijgen, zie mijn voorbeeld-instellingen, hier: https://www.security.nl/posting/41491#posting370538)
4. Indien ja op vraag 3 - Wélke andere instellingen heb je dan nog gemaakt in EMET?

[Aanvulling zo.16-2: vraag 0. toegevoegd.]
15-02-2014, 19:35 door [Account Verwijderd] - Bijgewerkt: 15-02-2014, 19:36

To wrap EMET’s protection around a program — say, Mozilla Firefox — launch EMET and click the “Apps” button in the upper portion of the main EMET window. Selecting the “Add Application” button in the next box brings up a program selection prompt; browse to C:\Program Files (x86)\Mozilla Firefox, and then add the “firefox.exe” file. It should be okay to accept all of the defaults that EMET adds for you.

http://krebsonsecurity.com/2013/06/windows-security-101-emet-4-0/
15-02-2014, 22:12 door Spiff has left the building - Bijgewerkt: 16-02-2014, 11:07
@ NedFox, 19:35,
Wat bedoel je te zeggen met je citaat?
Het geeft aan hoe je EMET kunt toepassen op - als voorbeeld - Firefox.
Maar wanneer de topicstarter zoals die aangeeft het Protection Profile "Popular Software" heeft toegepast in EMET (net zoals in mijn voorbeeld-instellingen https://www.security.nl/posting/41491#posting370538), dan is daarmee automatisch EMET met alle mitigations toegepast op Firefox. EMET hoeft dan niet nog op Firefox te worden toegepast zoals in dat voorbeeld van Krebs on Security.
En wanneer EMET Firefox stopt, zoals de topicstarter aangeeft, dan laat dat duidelijk zien dat de EMET mitigations zijn toegepast op Firefox. Het rare is alleen dat EMET normaal gesproken niet zomaar zou moeten stoppen.

Daarom mijn vragen 0 t/m 4 die ik 19:33 uur stelde.
[Aanvulling zo.16-2: vraag 0. toegevoegd, dus nu vraag 0 t/m 4, i.p.v. 1 t/m 4.]
Eén mogelijkheid die ik al kan bedenken: de combinatie van Windows 8.x met het aanvinken van "Deep Hooks".
Onder Windows 8.x is het wellicht beter om Deep Hooks niet aan te vinken.
Zie: https://www.security.nl/posting/41491#posting371821

Ik wacht verdere toelichting van de topicstarter af.
15-02-2014, 23:07 door [Account Verwijderd]
De OP heeft net EMET geinstalleerd. Als beheerder zijn mijn eerste vragen dan :

-Zit de stekker er in?
-heb je het aan-knopje van je monitor geprobeerd?
-Zie je een lampje bij je netwerkstekkertje?

Soms zijn het de simpelste dingen; als je in EMET naar de settings gaat, en daadwerkelijk checked of FF erbij staat heb je in ieder geval de simpele, logische dingen getackeld. Je kunt NOOIT uitgaan van ICT kennis. Zelfs hier niet.
15-02-2014, 23:30 door Anoniem
Opvallend is dat deze specifieke update ook bij updaten vanuit de achtergrondservice voor updates een UAC melding triggert.
16-02-2014, 11:10 door Spiff has left the building - Bijgewerkt: 16-02-2014, 11:58
@ NedFox, za.15-2, 23:07,
Uiteraard.
Dat is waarom ik de vragen stelde die ik za.15-2, 19:33 uur, stelde.
Ik heb vraag 1 t/m 4 zonet nog aangevuld met een vraag 0.
De topicstarter gaf aan dat die het Protection Profiel "Popular Software" heeft toegepast, en in het begin van mijn reactie vroeg ik daarvoor impliciet al een bevestiging, maar voor het geval dat niet opgepikt zou worden heb ik hetzelfde nu tevens nog eens expliciet gevraagd door middel van de nu toegevoegde vraag 0.
Bevestigt de topicstarter dat die Protection Profiel "Popular Software" heeft toegepast, dan lijkt me daarmee bevestigd dat EMET met alle mitigations is toegepast op Firefox.
De antwoorden op mijn vragen 1 t/m 4 zullen dan hopelijk verder duidelijkheid geven over wat er aan de hand is.
Vragen 0 t/m 4 zijn een analyse in stappen, die leiden tot meer inzicht in de situatie.
Ik had er heus wel over nagedacht hoor ;-) en ook een eventuele beperkte kennis en/of ervaring ingecalculeerd.
16-02-2014, 12:17 door Anoniem
Door Spiff: @ NedFox, za.15-2, 23:07,
Uiteraard.
Dat is waarom ik de vragen stelde die ik za.15-2, 19:33 uur, stelde.
Ik heb vraag 1 t/m 4 zonet nog aangevuld met een vraag 0.
De topicstarter gaf aan dat die het Protection Profiel "Popular Software" heeft toegepast, en in het begin van mijn reactie vroeg ik daarvoor impliciet al een bevestiging, maar voor het geval dat niet opgepikt zou worden heb ik hetzelfde nu tevens nog eens expliciet gevraagd door middel van de nu toegevoegde vraag 0.
Bevestigt de topicstarter dat die Protection Profiel "Popular Software" heeft toegepast, dan lijkt me daarmee bevestigd dat EMET met alle mitigations is toegepast op Firefox.
De antwoorden op mijn vragen 1 t/m 4 zullen dan hopelijk verder duidelijkheid geven over wat er aan de hand is.
Vragen 0 t/m 4 zijn een analyse in stappen, die leiden tot meer inzicht in de situatie.
Ik had er heus wel over nagedacht hoor ;-) en ook een eventuele beperkte kennis en/of ervaring ingecalculeerd.


In de eerste plaats veel dank voor jullie snelle eerste reacties.

Ik zal beginnen met de antwoorden op de vragen van Spiff:

0. Ik heb de installatie- en configuratie-adviezen van Spiff gevolgd, zoals die beschreven zijn in

https://www.security.nl/posting/41491#posting370538

1. Ik gebruik Windows 8.1
2. Ik heb even tijd nodig om dit opnieuw in te stellen en op te roepen; vandaag lukt me dat niet meer. Ik zal dit morgen (maandag) alsnog aanvullen.
3. Ik heb deep hooks niet aangevinkt.
4. Nadat ik alle mitigation-vinkjes voor Firefox had verwijderd (zodat Firefox weer bruikbaar werd maar niet beschermd is door EMET) kwam ik er achter, dat ook de meest recente versie van Chrome wordt gestopt door EMET 4.1. Intussen heb ik ook voor Chrome alle mitigation-vinkjes verwijderd.
Omdat ik EMET 4.1 gisteren voor het eerst heb geinstalleerd (ik had eerdere versies van EMET nog niet geinstalleerd en heb hier ook geen eerdere ervaring mee) weet ik niet hoe eerdere versies van EMET reageren op de niewste versies van Firefox en Chrome.

Dit als eerste reactie van topicstarter Harry; wordt morgen (maandag) aangevuld met het antwoord op vraag 2
16-02-2014, 13:53 door Spiff has left the building
@ Anoniem, 12:17,

Hai Harry,

Dankjewel voor je reactie en de antwoorden.
De antwoorden op mijn vragen 0, 1, 3 en 4 zijn duidelijk,
je hebt EMET toegepast zoals ik dat hier beschreven heb: https://www.security.nl/posting/41491#posting370538.
Ik heb vooralsnog nog geen idee waarom EMET bij jou nu Firefox 27.0.1 en ook Google Chrome stopt.
Ik ben benieuwd naar de gegenereerde meldingen bij het stoppen van Firefox en Chrome.
N.B.
Behalve de meldingen direct bij het stoppen, vind je misschien ook meldingen terug via het Onderhoudscentrum, en/of in de Windows Logboeken.
16-02-2014, 22:50 door Anoniem
Door Spiff: @ Anoniem, 12:17,

Hai Harry,

Dankjewel voor je reactie en de antwoorden.
De antwoorden op mijn vragen 0, 1, 3 en 4 zijn duidelijk,
je hebt EMET toegepast zoals ik dat hier beschreven heb: https://www.security.nl/posting/41491#posting370538.
Ik heb vooralsnog nog geen idee waarom EMET bij jou nu Firefox 27.0.1 en ook Google Chrome stopt.
Ik ben benieuwd naar de gegenereerde meldingen bij het stoppen van Firefox en Chrome.
N.B.
Behalve de meldingen direct bij het stoppen, vind je misschien ook meldingen terug via het Onderhoudscentrum, en/of in de Windows Logboeken.

Beste Spiff en anderen,

Hier volgen het antwoord op vraag 2 en enkele aanvullingen bij vraag 0 en 4 op mijn antwoorden van vandaag, 12.17 uur; onderstaand heb ook mijn eerdere antwoorden meegenomen.

0. Ik heb de installatie- en configuratie-adviezen van Spiff gevolgd, zoals die beschreven zijn in
https://www.security.nl/posting/41491#posting370538
Mijn instelling van de System Status is:
DEP – Application Opt Out
SEHOP – Application Opt Out
ALSR – Application Opt In
Pinning – Enabled

1. Ik gebruik Windows 8.1

2.1 Voor Firefox:

Probleemhandtekening:
Gebeurtenisnaam van probleem: APPCRASH
Naam van de toepassing: firefox.exe
Versie van toepassing: 27.0.1.5156
Tijdstempel van toepassing: 52fc0faa
Naam van foutmodule: KERNEL32.DLL
Versie van foutmodule: 6.3.9600.16441
Tijdstempel van foutmodule: 5265f8d8
Uitzonderingscode: c0000005
Uitzonderingsmarge: 00042cc9
Versie van besturingssysteem: 6.3.9600.2.0.0.768.101
Landinstelling-id: 1043
Aanvullende informatie 1: fd65
Aanvullende informatie 2: fd6552668625e3477de215ff3223e535
Aanvullende informatie 3: 8422
Aanvullende informatie 4: 8422591f409539c33263f056cd7bae54

2.2 Voor Chrome:

Probleemhandtekening:
Gebeurtenisnaam van probleem: APPCRASH
Naam van de toepassing: chrome.exe
Versie van toepassing: 32.0.1700.107
Tijdstempel van toepassing: 52ed6c62
Naam van foutmodule: KERNEL32.DLL
Versie van foutmodule: 6.3.9600.16441
Tijdstempel van foutmodule: 5265f8d8
Uitzonderingscode: c0000005
Uitzonderingsmarge: 00042cc9
Versie van besturingssysteem: 6.3.9600.2.0.0.768.101
Landinstelling-id: 1043
Aanvullende informatie 1: dbfc
Aanvullende informatie 2: dbfc4137a2ab8cefdda46dc5f684d1a2
Aanvullende informatie 3: 0c20
Aanvullende informatie 4: 0c20abc90ef1c0627f0f77bdaaaa9ac4

3. Ik heb deep hooks niet aangevinkt.

4. Nadat ik alle mitigation-vinkjes voor Firefox (27.0.1) had verwijderd (zodat Firefox weer bruikbaar werd maar niet beschermd is door EMET) kwam ik er achter, dat ook de meest recente versie van Chrome (32.0.1700.107.m) wordt gestopt door EMET 4.1. Intussen heb ik ook voor Chrome alle mitigation-vinkjes verwijderd.
Omdat ik EMET 4.1 gisteren voor het eerst heb geinstalleerd (ik had eerdere versies van EMET nog niet geinstalleerd en heb hier ook geen eerdere ervaring mee) weet ik niet hoe eerdere versies van EMET reageren op de niewste versies van Firefox en Chrome.

Ik gebruik Firefox met Adblock Plus 2.4.1, Ghostery 5.1.1, HTTPS-Everywhere 3.4.5 en 1-Click YouTube Video Downloader 2.2.6.
Ik gebruik Chrome met Adblock Plus 1.7.2, Ghostery 5.1.1 en HTLM5 video for Youtube 0.5.5.

Voor wat mijn achtergrondkennis en -ervaring betreft: sinds ongeveer een jaar lees ik met veel interesse de nieuws- en forum-berichten op Security.nl. Ik heb hier veel van geleerd, maar ik begrijp/doorgrond nog lang niet alles en heb een IT-security kennis- en ervarings-niveau dat veel lager ligt dan dat van de gemiddelde Security.nl lezer/gebruiker of discussiedeelnemer.

Spiff, kun je me zeggen waar ik naar moet zoeken (en hoe ik dat kan doen) om eventuele meldingen terug te vinden via het Onderhoudscentrum, en/of in de Windows Logboeken? Op eigen kracht kom ik hier niet verder mee.

Ik hoop, dat de deskundigen met bovenstaande gegevens verder kunnen komen. Als ik verder kan helpen met aanvullende informatie, laat het me dan weten (maar help me dan ook even door te vertellen waar en hoe ik die kan vinden).

Bij voorbaat erg veel dank voor jullie meedenken en hulp.

topicstarter Harry
18-02-2014, 15:23 door Spiff has left the building - Bijgewerkt: 18-02-2014, 15:26
@ topicstarter Harry,

Sorry dat ik pas wat laat reageer,
er was hier sinds gisterochtend geen verbinding, door een kapotgetrokken kabel van het KPN-netwerk hier in de stad.

Wat betreft de probleembeschrijvingen van Firefox en Google Chrome, die je zondag 16-02, 22:50 uur hebt gepost, dat biedt me nog geen aanknopingspunten.

Wat betreft het zoeken van meldingen via het Windows 8.1 Onderhoudscentrum:
In het Windows 8.1 Onderhoudscentrum vind je heel misschien wat onder "Gearchiveerde berichten weergeven".

Wat betreft het zoeken van meldingen in de Windows Logboeken:
De Windows Logboeken zijn wellicht het beste te gebruiken direct nadat je eerst een crash van Firefox en Chrome uitlokt door alle EMET-mitigations weer toe te passen op Firefox en Chrome.
De Windows Logboeken open je vervolgens bij voorkeur als Administator.
Zoek naar Logboeken, kies Gebeurtenislogboeken weergeven.
Vervolgens kun je eens zien wat voor recente fouten je vindt voor Firefox en voor Chrome.
Een aantal opties:
1. Kijk onder Logboeken (lokaal) of er onder de Logboeksamenvating iets aanwezig is voor Firefox en voor Chrome.
2. Kijk onder Aangepaste weergaven\ Beheergebeurtenissen, of er foutmeldingen zijn voor Firefox en voor Chrome.
3. Kies in de rechterkolom Zoeken, en zoek eerst met zoekterm Firefox en vervolgens met Chrome (of omgekeerd).
(Mogelijk heeft iemand anders nog meer tips?)

Iets anders, dat je ook eens kunt proberen, dat is het volgende:
Je zou eens alle add-ons in Firefox en Chrome kunnen uitschakelen, en dan de mitigations voor Firefox en Chrome opnieuw toevoegen onder EMET, en dan eens zien of Firefox en Chrome dan misschien níet crashen.
Crashen Firefox en Chrome dan niet meer, dan zit het probleem 'm wellicht in een of meerdere van de gebruikte add-ons.
In dat geval schakel je de add-ons een voor een weer in, om te zien welke daarvan Firefox en Chrome doen chrashen.

Ik hoop dat je wat kunt vinden dat zicht kan geven op de oorzaak van het crashen van Firefox en Chrome.
Succes.
18-02-2014, 20:39 door Anoniem
@ Spiff 15.23 / 15.26

Veel dank voor jouw uitgebreide reactie.

Ik ga hiermee aan de slag. Zodra ik iets meer weet of eventuele meldingen teruggevonden heb via het Onderhoudscentrum en/of in de Windows Logboeken laat ik dat weten.

topicstarter Harry
19-02-2014, 22:03 door Anoniem
@ Spiff 18-02, 15.23 / 15.26

Inmiddels heb ik meldingen in onderhoudscentrum en logboeken gezocht, vele zaken gevonden en vooral bij Firefox (mijn favoriete browser) verscheidene zaken uitgeprobeerd. Hieronder volgt een (lange) samenvatting.

1. In het Windows 8.1 Onderhoudscentrum heb ik niets gevonden; dit ondanks het feit dat hiernaar verwezen wordt vanuit de Windows Logboeken.

De Windows Logboeken bevatten veel informatie:

2. Crash van Firefox uitgelokt door alle EMET-mitigations weer toe te passen op Firefox geeft de volgende logs (zie ook Discussie na log 2.3):

2.1
Logboeknaam: Application
Bron: Application Hang
Datum: 19-2-2014 15:55:09
Gebeurtenis-id:1002
Taakcategorie: (101)
Niveau: Fout
Trefwoorden: Klassiek
Gebruiker: n.v.t.
Computer: XXX
Beschrijving:
Het programma firefox.exe, versie 27.0.1.5156 reageert niet meer op Windows en is afgesloten. Als u wilt zien of er meer informatie over het probleem beschikbaar is, raadpleegt u de probleemgeschiedenis in het onderdeel Onderhoudscentrum in het Configuratiescherm.
Proces-id: cf4
Starttijd: 01cf2d8220fc3b39
Eindtijd: 0
Toepassingspad: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Rapport-id: d0008973-9975-11e3-be8c-54bef74fbb21
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:

Gebeurtenis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Hang" />
<EventID Qualifiers="0">1002</EventID>
<Level>2</Level>
<Task>101</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-02-19T14:55:09.000000000Z" />
<EventRecordID>5578</EventRecordID>
<Channel>Application</Channel>
<Computer>XXX</Computer>
<Security />
</System>
<EventData>
<Data>firefox.exe</Data>
<Data>27.0.1.5156</Data>
<Data>cf4</Data>
<Data>01cf2d8220fc3b39</Data>
<Data>0</Data>
<Data>C:\Program Files (x86)\Mozilla Firefox\firefox.exe</Data>
<Data>d0008973-9975-11e3-be8c-54bef74fbb21</Data>
<Data>
</Data>
<Data>
</Data>
<Binary>55006E006B006E006F0077006E0000000000</Binary>
</EventData>
</Event>

2.2
Logboeknaam: Application
Bron: Application Error
Datum: 19-2-2014 15:55:38
Gebeurtenis-id:1000
Taakcategorie: (100)
Niveau: Fout
Trefwoorden: Klassiek
Gebruiker: n.v.t.
Computer: XXX
Beschrijving:
Naam van toepassing met fout: firefox.exe, versie: 27.0.1.5156, tijdstempel: 0x52fc0faa
Naam van module met fout: KERNEL32.DLL, versie: 6.3.9600.16441, tijdstempel: 0x5265f8d8
Uitzonderingscode: 0xc0000005
Foutmarge: 0x00042cc9
Id van proces met fout: 0x1628
Starttijd van toepassing met fout: 0x01cf2d829bab5fb1
Pad naar toepassing met fout: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Pad naar module met fout: C:\WINDOWS\SYSTEM32\KERNEL32.DLL
Rapport-id: e459d88b-9975-11e3-be8c-54bef74fbb21
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:
Gebeurtenis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-02-19T14:55:38.000000000Z" />
<EventRecordID>5579</EventRecordID>
<Channel>Application</Channel>
<Computer>XXX</Computer>
<Security />
</System>
<EventData>
<Data>firefox.exe</Data>
<Data>27.0.1.5156</Data>
<Data>52fc0faa</Data>
<Data>KERNEL32.DLL</Data>
<Data>6.3.9600.16441</Data>
<Data>5265f8d8</Data>
<Data>c0000005</Data>
<Data>00042cc9</Data>
<Data>1628</Data>
<Data>01cf2d829bab5fb1</Data>
<Data>C:\Program Files (x86)\Mozilla Firefox\firefox.exe</Data>
<Data>C:\WINDOWS\SYSTEM32\KERNEL32.DLL</Data>
<Data>e459d88b-9975-11e3-be8c-54bef74fbb21</Data>
<Data>
</Data>
<Data>
</Data>
</EventData>
</Event>

2.3
Logboeknaam: Application
Bron: Application Error
Datum: 19-2-2014 16:51:45
Gebeurtenis-id:1000
Taakcategorie: (100)
Niveau: Fout
Trefwoorden: Klassiek
Gebruiker: n.v.t.
Computer: XXX
Beschrijving:
Naam van toepassing met fout: plugin-container.exe, versie: 27.0.1.5156, tijdstempel: 0x52fc0fcf
Naam van module met fout: NPSWF32_12_0_0_44.dll, versie: 12.0.0.44, tijdstempel: 0x52e70f10
Uitzonderingscode: 0xc0000005
Foutmarge: 0x00342350
Id van proces met fout: 0xecc
Starttijd van toepassing met fout: 0x01cf2d8a7378d5b2
Pad naar toepassing met fout: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
Pad naar module met fout: C:\WINDOWS\SYSTEM32\Macromed\Flash\NPSWF32_12_0_0_44.dll
Rapport-id: bb684b10-997d-11e3-be8c-54bef74fbb21
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:
Gebeurtenis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-02-19T15:51:45.000000000Z" />
<EventRecordID>5591</EventRecordID>
<Channel>Application</Channel>
<Computer>XXX</Computer>
<Security />
</System>
<EventData>
<Data>plugin-container.exe</Data>
<Data>27.0.1.5156</Data>
<Data>52fc0fcf</Data>
<Data>NPSWF32_12_0_0_44.dll</Data>
<Data>12.0.0.44</Data>
<Data>52e70f10</Data>
<Data>c0000005</Data>
<Data>00342350</Data>
<Data>ecc</Data>
<Data>01cf2d8a7378d5b2</Data>
<Data>C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe</Data>
<Data>C:\WINDOWS\SYSTEM32\Macromed\Flash\NPSWF32_12_0_0_44.dll</Data>
<Data>bb684b10-997d-11e3-be8c-54bef74fbb21</Data>
<Data>
</Data>
<Data>
</Data>
</EventData>
</Event>

Discussie:
Op het moment van de crashes van log 2.1, log 2.2 en log 2.3 stonden de mitigation-vinkjes voor Firefox en voor de Firefox plugin-container aan.
Daarna heb ik de mitigation-vinkjes voor de Firefox plugin-container uitgezet (maar de mitigation-vinkjes voor Firefox aan laten staan); dit resulteerde eveneens in een crash van Firefox (log niet bijgevoegd).
Daarna heb ik alle alle add-ons in Firefox uitgeschakeld (maar de mitigation-vinkjes voor Firefox aan laten staan); ook dan crasht Firefox (log niet bijgevoegd).
Daarna heb ik alle alle add-ons in Firefox weer ingeschakeld, de mitigation-vinkjes voor Firefox uitgezet en de mitigation-vinkjes voor de Firefox plugin-container weer aangezet. Resultaat: Firefox crasht (tot op dit moment) niet.
Ik heb na de crash van log 2.3 nog even gedacht, dat de Firefox plugin-container mogelijk de oorzaak was van de crashes, maar deze hypothese wordt niet gesteund door bovenstaande resultaten.


3. Crash van Chrome uitgelokt door alle EMET-mitigations weer toe te passen op Chrome geeft de volgende verslaglegging:

Logboeknaam: Application
Bron: Application Error
Datum: 19-2-2014 15:40:37
Gebeurtenis-id:1000
Taakcategorie: (100)
Niveau: Fout
Trefwoorden: Klassiek
Gebruiker: n.v.t.
Computer: XXX
Beschrijving:
Naam van toepassing met fout: chrome.exe, versie: 32.0.1700.107, tijdstempel: 0x52ed6c62
Naam van module met fout: KERNEL32.DLL, versie: 6.3.9600.16441, tijdstempel: 0x5265f8d8
Uitzonderingscode: 0xc0000005
Foutmarge: 0x00042cc9
Id van proces met fout: 0x13e0
Starttijd van toepassing met fout: 0x01cf2d808930414e
Pad naar toepassing met fout: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Pad naar module met fout: C:\WINDOWS\SYSTEM32\KERNEL32.DLL
Rapport-id: cb8cc1ae-9973-11e3-be8c-54bef74fbb21
Volledige pakketnaam met fout:
Relatieve toepassings-id van pakket met fout:
Gebeurtenis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-02-19T14:40:37.000000000Z" />
<EventRecordID>5569</EventRecordID>
<Channel>Application</Channel>
<Computer>XXX</Computer>
<Security />
</System>
<EventData>
<Data>chrome.exe</Data>
<Data>32.0.1700.107</Data>
<Data>52ed6c62</Data>
<Data>KERNEL32.DLL</Data>
<Data>6.3.9600.16441</Data>
<Data>5265f8d8</Data>
<Data>c0000005</Data>
<Data>00042cc9</Data>
<Data>13e0</Data>
<Data>01cf2d808930414e</Data>
<Data>C:\Program Files (x86)\Google\Chrome\Application\chrome.exe</Data>
<Data>C:\WINDOWS\SYSTEM32\KERNEL32.DLL</Data>
<Data>cb8cc1ae-9973-11e3-be8c-54bef74fbb21</Data>
<Data>
</Data>
<Data>
</Data>
</EventData>
</Event>

4. Conclusie
Nu alle mitigation-vinkjes voor Firefox zijn verwijderd is Firefox weer bruikbaar maar niet beschermd door EMET. Idem voor Chrome. Hoe het probleem van de door EMET veroorzaakte crashes moet worden opgelost in samenhang met de gewenste bescherming door EMET is mij niet duidelijk.
Spiff, zie jij (of iemand anders) een oplossing hiervoor?

topicstarter Harry
19-02-2014, 22:51 door [Account Verwijderd]
[Verwijderd]
20-02-2014, 00:04 door Spiff has left the building - Bijgewerkt: 20-02-2014, 00:06
Hai Harry,

Dankjewel voor de uitgebreide rapportage van 22:03 uur.
Het biedt mij echter nog geen nader inzicht in waar je probleem zit.

De suggestie van Solaris van wo.19-2, 22:51 uur was ook wat ik wilde voorstellen:
Uitzoeken welke EMET mitigation het probleem veroorzaakt.
Mijn suggestie was om een voor een de EMET mitigations voor Firefox en Chrome toe te voegen, en zien welke daarvan dan die browsers doet of doen crashen.
Maar ik denk dat Solaris iets weet of vermoed over EAF dat ik niet weet en dat Solaris daarom voorstelt om te beginnen met het uitschakelen van enkel de EAF mitigation voor Firefox en Chrome.

Ik ben benieuwd naar het resultaat.
Was het de EAF mitigation die Firefox en Chrome deed crashen, dan hoop ik dat Solaris even wil uitleggen waarom die dat vermoedde.
Blijkt het een of meerdere van de ándere mitigations die Firefox en Chrome doet of doen crashen, dan is dat natuurlijk eveneens nuttig om te weten én interessant.
20-02-2014, 12:45 door Anoniem
Door Solaris: Beste Harry, zou je het eens willen testen met alle mitigationvinkjes aangevinkt, behalve EAF ?

Gr.

Solaris

Beste Solaris,

Dank voor jouw meedenken.
Helaas blijkt EMET met alle mitigationvinkjes aangevinkt behalve EAF niet de oplossing te zijn voor Firefox of Chrome.

Maar we gaan door met de suggestie van Spiff van vandaag om 00.04

topicstarter Harry
20-02-2014, 13:05 door [Account Verwijderd]
[Verwijderd]
20-02-2014, 14:03 door Spiff has left the building
Door Solaris, 13:05 uur:
Voor jou en Spiff : ik had iets gelezen over deze issues in een stukje van Brian Krebs, kon het artikel gisteravond niet zo gauw vinden.
Alsnog, bij deze:
http://krebsonsecurity.com/2013/06/windows-security-101-emet-4-0/
Dank je, Solaris.
Bedoel je deze passage?
Door Krebs on Security, June 18th, 2013 at 1:42 pm:
[...]
For example, a handful of applications will simply crash or not work with EMET's "export address table access filtering" (EAF) mitigation turned on. Skype is one well-known example here. I’ve also experienced issues with running EAF on Google Chrome.

Jammer dat voor Harry het uitvinken van enkel EAF geen oplossing bood.
Het was het proberen waard.

Ik ben benieuwd naar de resultaten van het een voor een toevoegen van de EMET mitigations voor Firefox en Chrome.
Een aardige klus. Succes, Harry.

Overigens bestaat er een kansje dat het probleem al aan de orde geweest is op het TechNet Security forum for EMET Support,
http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet
Ik heb het er echter nog niet kunnen vinden.
Afhankelijk van de resultaten van het een voor een toevoegen van de EMET mitigations voor Firefox en Chrome, kan het een optie zijn om vervolgens het TechNet Security forum for EMET Support eens te doorzoeken op dat specifieke issue, en om eventueel vervolgens het issue zo nodig te posten op het TechNet Security forum for EMET Support.
Zou het een bekend issue zijn, dan kun je daar wellicht een oplossing aangereikt krijgen, zou het een nog onbekend issue zijn, dan is het waardevol dat het op dat forum aan de orde gebracht wordt.

Ik ben in ieder geval benieuwd wat de resultaten zullen zijn van het een voor een toevoegen van de EMET mitigations voor Firefox en Chrome.
20-02-2014, 17:05 door Anoniem
@ Solaris 13.05
@Spiff 14.03

Het lijkt erop, dat we het lek boven water hebben.

1. Voor Firefox (27.0.1) en voor Chrome (32.0.1700.107.m) onder Windows 8.1 functioneert EMET 4.1 correct, als de mitigation vinkjes van:
LoadLib
Memprot
Caller
SimExecFlow
StackPivot

uitgezet zijn. Ook het vinkje van deep hooks is uitgezet.


2. Op het TechNet Security forum for EMET Support:

http://social.technet.microsoft.com/Forums/security/en-US/home?forum=emet

heb ik geen aanwijzingen kunnen vinden voor Firefox en Chrome;
ook niet op de bijbehorende Excel Web Page:

https://onedrive.live.com/view.aspx?resid=14EEC8AB42191B55!11751&ithint=file%2c.xlsx&app=Excel&wdo=2&authkey=!AFgjm0tB1tvwR9E

Op deze Excel Web Page heb ik inmiddels mijn bevindingen voor Firefox en Chrome toegevoegd.

3. Verder kwam ik nog een nuttig advies tegen voor VLC media player 2.1.3:
voor VLC media player 2.1.3 functioneert EMET 4.1 correct als het mitigation vinkje van SimExecFlow uitgezet is.

Mannen, veel dank voor het meedenken. Ik ga weer over tot de orde van de dag.

topicstarter Harry
20-02-2014, 19:50 door Spiff has left the building
Door Anoniem, 17:05 uur:

1. Voor Firefox (27.0.1) en voor Chrome (32.0.1700.107.m) onder Windows 8.1 functioneert EMET 4.1 correct,
als de mitigation vinkjes van
- LoadLib
- Memprot
- Caller
- SimExecFlow
- StackPivot
uitgezet zijn.
Ook het vinkje van deep hooks is uitgezet.

[...]
Ik ga weer over tot de orde van de dag.

Dat is best nogal wat, vind ik, dat nota bene vijf van de twaalf EMET mitigations uitgeschakeld moeten worden om Firefox en Chrome niet te laten crashen op je systeem, terwijl daarover nog niets beschreven lijkt te zijn, noch in de EMET User Guide, noch op het TechNet Security forum for EMET Support.
Ik hoop dat iemand nog kan achterhalen of beredeneren wat de oorzaak is of kan zijn.

Kom je er later nog achter, Harry, of iemand anders, ik ben nog zeer benieuwd en verneem het hier dan nog graag.
Alvast bedankt.
29-04-2014, 17:20 door Anoniem
Beste allemaal,

Ik heb ook EMET 4.1 draaien en ondervind precies het zelfde probleem, ik heb bij firefox alleen DEP aanstaan, de rest crasht de browser voortdurend op. Apart is dat mijn IE van windows niet crasht met EMET volledig aan en dat zou momenteel de onveiligste browser zijn.
30-04-2014, 10:35 door Mysterio
Door Anoniem: Beste allemaal,

Ik heb ook EMET 4.1 draaien en ondervind precies het zelfde probleem, ik heb bij firefox alleen DEP aanstaan, de rest crasht de browser voortdurend op. Apart is dat mijn IE van windows niet crasht met EMET volledig aan en dat zou momenteel de onveiligste browser zijn.
EMET 4.1, Windows 7 Ent 64Bits. Alle opties aan bij Firefox en nergens last van. IE crasht met SEHOP aan. Op andere testsystemen krijg ik wel eens een crash bij Firefox wanneer early warning en SEHOP aan staan. Early warning zou geen effect moeten hebben, maar heeft dat blijkbaar toch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.