Nieuws
image

Microsoft beschermt Windows tegen Java- en Flash-aanvallen

woensdag 26 februari 2014, 10:17 door Redactie, 9 reacties

Microsoft heeft een nieuwe versie van de gratis EMET-beveiligingstool uitgebracht die Windowsgebruikers nu ook specifiek tegen Java- en Flash-aanvallen kan beschermen. De Enhanced Mitigation Experience Toolkit (EMET) voegt allerlei beveiligingsmaatregelen aan Windows toe.

Deze maatregelen zijn bedoeld om het misbruik van beveiligingslekken in Windows en andere applicaties lastiger te maken. Het gaat dan zowel om bekende als onbekende beveiligingslekken. Veel van de lekken waardoor Windowsgebruikers worden aangevallen bevinden zich in browserplug-ins, zoals Java en Adobe Flash Player.

Plug-ins

In de nieuwste versie van Microsoft heeft EMET daarom twee nieuwe features toegevoegd genaamd Attack Surface Reduction (ASR) en Export Address Table Filtering Plus (EAF+). Via ASR is het mogelijk om aanvallen op third-party en zelfgemaakte applicaties te voorkomen door selectief Java, Adobe Flash Player en Microsoft of andere third-party plug-ins in of uit te schakelen.

Gebruikers van EMET kunnen bijvoorbeeld voorkomen dat de Adobe Flash Player plug-in in Microsoft Word wordt geladen. Ook is het mogelijk om te voorkomen dat de Java plug-in in de Internet Zone wordt geladen, maar wel in de Intranet Zone van Internet Explorer wordt toegestaan.

EAF+

De tweede nieuwe feature in EMET is een verbetering van Export Address Table Filtering (EAF) genaamd EAF+. Deze maatregel voorkomt verschillende exploittechnieken en voegt extra bescherming aan de bestaande EAF-controle toe. Daarnaast zijn verschillende kwetsbaarheden in de nieuwe versie van EMET verholpen die deze week aan het licht kwamen. De versie van EMET 5.0 die via Microsoft.com gedownload kan worden is nog een previewversie.

Reacties (9)
26-02-2014, 12:35 door Spiff has left the building - Bijgewerkt: 03-03-2014, 02:35
Door Redactie:
Microsoft beschermt Windows tegen Java- en Flash-aanvallen
Via ASR is het mogelijk om aanvallen op third-party en zelfgemaakte applicaties te voorkomen door selectief Java, Adobe Flash Player en Microsoft of andere third-party plug-ins in of uit te schakelen.
Klopt, maar ASR is een optie die door de gebruiker dan handmatig in het Windows register moet worden ingesteld.
Zie de EMET 5.0 Tech Preview User Guide:
EMET 5.0 Tech Preview User Guide:
NOTE: The list of blocked modules for ASR and the zones with exceptions (where the modules are allowed to be loaded) should be manually defined by the user in the following registry key per-application:
HKLM\SOFTWARE\Microsoft\EMET\_settings_\{CLSID}\asr_modules = "…"
HKLM\SOFTWARE\Microsoft\EMET\_settings_\{CLSID}\asr_zones = "…"
Correctie en aanvulling 3-3:
Anders dan ik eerder meende te begrijpen, is in EMET 5.0 Tech Preview ASR toch wel degelijk standaard al toegepast op een drietal applicaties.
Namelijk:
iexplore.exe - geblokkeerde modules: npjpi*.dll, jp2iexp.dll, vgx.dll, flash*.ocx
winword.exe - geblokkeerde module: flash*.ocx
excel.exe - geblokkeerde module: flash*.ocx
N.B.
Dat betekent voor Internet Explorer dat daarin Java, Microsoft vector graphics rendering en Flash worden geblokkeerd.
Wie Java, vector graphics rendering, en/of Flash wenst te kunnen gebruiker onder IE, die zal de toepassing van ASR op IE moeten uitschakelen, óf een aanpassing in het register moeten maken om de betreffende specifieke blokkade of blokkades uit te schakelen.
Einde correctie en aanvulling 3-3.

Door Redactie:
De tweede nieuwe feature in EMET is een verbetering van Export Address Table Filtering (EAF) genaamd EAF+.
EAF+ is niet standaard toegepast, maar kan worden toegepast via:
EMET\ Apps\ Mitigation Settings\ aanvinken: EAF+
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx:
EAF+ can be enabled through the “Mitigation Settings” ribbon.
Correctie en aanvulling 3-3:
Anders dan ik eerder meende te begrijpen, is in EMET 5.0 Tech Preview EAF+ standaard al toegepast, zie ik.
Einde correctie en aanvulling 3-3.

En ook nog interessant:
Anders dan in EMET 4.1 is in EMET 5.0 Tech Preview de "Deep Hooks" mitigation setting nu standaard ingeschakeld.
Of dit ook in de EMET 5.0 final release het geval zal zijn, dat hangt af van de ervaringen met deze instelling in EMET 5.0 Tech Preview. Zie:
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx:
This Technical Preview enables the “Deep Hooks” mitigation setting. We have been working with third-party software vendors whose products do not run properly with Deep Hooks enabled. We believe these vendors have resolved the application compatibility issues that previously existed with Deep Hooks enabled. We enable Deep Hooks in the Technical Preview to evaluate the possibility of having this setting turned on by default in the final EMET 5.0 release because it has proven to be effective against certain advanced exploits using ROP gadgets with lower level APIs.
26-02-2014, 14:44 door Bati
Maar wat is nu de nieuwe versie waar het artikel melding van maakt? 4.1 bestond al, het is niet 5.0, welke wel en voor de geinteresseerden waar?
26-02-2014, 15:24 door Spiff has left the building - Bijgewerkt: 26-02-2014, 19:03
Door Bati, 14:44 uur:
Maar wat is nu de nieuwe versie waar het artikel melding van maakt?
4.1 bestond al, het is niet 5.0, welke wel
en voor de geïnteresseerden waar?

Het artikel van de redactie vermeldt dat het EMET 5.0 betreft.
Het artikel van de redactie vermeldt tevens dat het een preview-versie betreft,
dus nog niet de final release, maar een test-versie, een bèta-versie.

Ook linkt het artikel van de redactie naar een pagina met informatie:
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx

En ook linkt het artikel van de redactie naar de EMET 5.0 Tech Preview download-pagina
http://www.microsoft.com/en-us/download/details.aspx?id=41963
waar je via Download het EMET 5.0 Tech Preview installatiebestand kunt downloaden (EMET Setup.msi)
en/of los daarvan ook de EMET 5.0 Tech Preview User's Guide.

Ik vind het geen probleem om dat allemaal nog eens te vermelden,
maar ook het artikel van de redactie bood die informatie.
26-02-2014, 19:12 door vanegmond
Pfff Heb je EMET 4.1 erop en dan gaan we weer { EMET volgen de Updates snel } naar 5.0. Maar even wachten tot de Final versie uit is en ondertussen is je bescherming minder. Van @ Spiff las ik, dat je ook iets in je register moet doen, nou daar heb ik helemaal geen verstand van. Dus wat dan Microsoft ?
Overweeg een Laptop te kopen, en afgezien van het prijsverschil. Is een Apple vanwege al dit, niet een beter keuze ? Zelf vind ik Windows 8/8.1 wel wat hebben, maar is die veiliger als een Apple, diegene die ik ken, hebben er zeggen ze....helemaal niks aan bescherming op. Nu zal ik de Apple fans wel wakker maken, maar ik ben een Windows fan, alleen door al dit gedoe Pfffff
26-02-2014, 19:30 door Spiff has left the building - Bijgewerkt: 26-02-2014, 19:32
Door vanegmond:
Van Spiff las ik, dat je ook iets in je register moet doen
De configuratie van ASR (Attack Surface Reduction) via het register is een aanvullende optie, het is geen moeten in de betekenis dat het noodzakelijk zou zijn, dat is het niet.
Ook EMET 4.1 en eerder bieden en boden al verschillende geavanceerde opties die je zelf moet configureren.
Maar ook zónder het gebruiken van de geavanceerde opties die je zelf moet configureren biedt EMET al veel bescherming, en EMET 5.0 weer wat meer dan 4.1.
26-02-2014, 19:54 door Anoniem
Kunnen ze niet iets inbouwen waardoor een plugin bepaalde dingen niet mag doen, bijvoorbeeld software downloaden?
Dat is veel effectiever want al die exploits proberen toch zo snel mogelijk de controle over te dragen naar een stuk
gedownloade software. Het is al mogelijk om uitvoeren van gedownloade software te blokkeren met een policy maar
voor veel gebruikers (en beheerders) is dat te moeilijk. Dus als EMET dat nou eens ging managen?
27-02-2014, 22:38 door Anoniem
Waarom doen ze deze niet standaard voor Windows installeren?

Blijf me dat toch telkens maar afvragen.
03-03-2014, 02:26 door Spiff has left the building - Bijgewerkt: 03-03-2014, 02:35
Door Spiff, 26-02, 12:35 uur:
ASR is een optie die door de gebruiker handmatig in het Windows register moet worden ingesteld.
Anders dan ik eerder meende te begrijpen, is in EMET 5.0 Tech Preview ASR toch wel degelijk standaard al toegepast op een drietal applicaties.
Namelijk:
iexplore.exe - geblokkeerde modules: npjpi*.dll, jp2iexp.dll, vgx.dll, flash*.ocx
winword.exe - geblokkeerde module: flash*.ocx
excel.exe - geblokkeerde module: flash*.ocx
N.B.
Dat betekent voor Internet Explorer dat daarin Java, Microsoft vector graphics rendering en Flash worden geblokkeerd.
Wie Java, vector graphics rendering, en/of Flash wenst te kunnen gebruiker onder IE, die zal de toepassing van ASR op IE moeten uitschakelen, óf een aanpassing in het register moeten maken om de betreffende specifieke blokkade of blokkades uit te schakelen.

Door Spiff, 26-02, 12:35 uur:
EAF+ is niet standaard toegepast, maar kan worden toegepast via:
EMET\ Apps\ Mitigation Settings\ aanvinken: EAF+
Anders dan ik eerder meende te begrijpen, is EAF+ standaard al toegepast, zie ik.
05-03-2014, 03:50 door Spiff has left the building
De afgelopen dagen heb ik EMET 5.0 Tech Preview eens uitgeprobeerd.
Mijn conclusie:
EMET 5.0 Tech Preview is werkelijk nog érg bèta.

Zie mijn forum-post:
https://www.security.nl/posting/380416/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search