image

Microsoft wil alle Windows-gebruikers aan EMET (video)

woensdag 13 februari 2013, 14:11 door Redactie, 15 reacties

Microsoft wil dat zowel thuisgebruikers als bedrijven hun Windows-computers met de gratis Enhanced Mitigation Experience Toolkit (EMET) gaan beveiligen. Windows ondersteunt verschillende technieken die het misbruik van beveiligingslekken moeten bemoeilijken. Veel programma's van derden maken hier geen gebruik van. Daarom ontwikkelde Microsoft EMET.

Deze gratis tool zorgt ervoor dat andere software toch via beveiligingsmaatregelen zoals Data Execution Prevention (DEP) en Address space layout randomization (ASLR) beschermd wordt. Dit zou het lastiger voor aanvallers moeten maken om beveiligingslekken in deze programma's succesvol uit te buiten.

"Veel mensen met wie ik praat hebben er nog nooit van gehoord of gebruiken het niet", zegt Microsofts Dustin Childs. Het programma biedt ook bescherming tegen zero-day-lekken, onbekende kwetsbaarheden waarvoor nog geen update beschikbaar is. Het programma wordt inmiddels door verschillende organisaties aanbevolen, waaronder eBay.

"Op het eerste gezicht kan het wat lastig lijken om de tool te configureren", stelt Childs. Om eindgebruikers te helpen maakte Microsoft onderstaande video. Ook in dit Security.NL stapplenplan wordt het gebruik van EMET stap voor stap uitgelegd.

Ondersteuning
Eén van de grootste kritiekpunten op EMET kwam vanuit bedrijven. De tool werd namelijk niet officieel door Microsoft ondersteund. Daar is sinds gisterenavond verandering in gekomen. Microsoft ondersteunt nu ook via Microsoft Services Premier en Professional Support het gebruik van EMET binnen bedrijven en zakelijke omgevingen.

"Dit is een belangrijk stap voor ons om professionele en zakelijke klanten te ondersteunen en vragen te beantwoorden met betrekking tot de uitrol, configuratie en het oplossen van problemen met EMET", zegt Gerardo Di Giacomo van het Microsoft Security Response Center.

Het gaat hier wel om betaalde ondersteuning. Daarnaast wordt alleen EMET 3.0 ondersteund. Deze versie verscheen op 15 mei 2012. Microsoft publiceerde ook een bètaversie van EMET 3.5, die over verschillende nieuwe beveiligingstechnieken beschikt. Wanneer de uiteindelijke versie hiervan verschijnt is nog onbekend.

Reacties (15)
13-02-2013, 14:34 door Anoniem
Het wordt zeker net zo'n succes als MSE.
13-02-2013, 15:06 door Anoniem
Vertaal die naam eens in het Nederlands en hij is opeens heel idioot:

verbeterde verzachtingservaringsuitrusting

En ja, dat laatste is in het Nederlands één woord, ik heb de verleiding weerstaan het al te letterlijk naar verzachtingservaringsgereedschapsuitrusting te vertalen.

Verzachting van wat? De schadelijke effecten van beveiligingslekken, natuurlijk, maar dat noemen ze niet eens. Oké, mitigation is een gangbare term in beveiligingsjargon, maar dat taaltje spreekt het grote publiek niet. Het kan geen kwaad om te beseffen dat 'mitigation' in normaal taalgebruik ook iets betekent (verzachting, verlichting), en dat het maar een heel vage kreet is als je vergeet te vermelden wát er precies verzacht wordt. In het Nederlands zou ik voor de duidelijkeheid liever van risicoverlaging spreken dan van mitigatie, dan snapt iedereen het.

En hoezo verzachtingservaring? Gaat het erom dat ik er een knus gevoel bij krijg of om daadwerkelijk risico's te verminderen? Ik hoop het laatste. Dit is een voorbeeld van de (alweer nogal idiote) neiging van Microsoft om alles wat ze lekker willen laten klinken een 'ervaring' te noemen. De ervaring die ik zo langzamerhand bij het constante misbruik van dat woord heb is dat mijn nekharen erbij overeind gaan staan.

Het letterwoord EMET zal iemand die niet weet wat het is al niets zeggen, maar zelfs als je het voluit geschreven ziet staan komt het over als een betekenisloze marketingkreet die bij de meeste mensen vooral een blanco uitdrukking op hun gezicht zal oproepen. Als Microsoft dit populair wil maken moeten ze misschien eerst eens een naam gaan verzinnen die concreet genoeg is om de juiste associaties op te roepen.
13-02-2013, 16:02 door Anoniem
who cares, emet is de shit!
13-02-2013, 16:14 door Spiff has left the building
Via het "Microsoft Showcase - Installing and Configuring EMET" filmpje heb ik toch nog wat geleerd over EMET dat ik eerder over het hoofd had gezien.

Het inschakelen van DEP voor alle programma's en services (en het maken van een uitzondering voor één enkele applicatie) dat heb ik eerder al buiten EMET uitgevoerd, evenals het inschakelen van SEHOP door middel van een door Microsoft getipte eenvoudige registeraanpassing.
Via EMET 3.5 had ik wel eerder Internet Explorer beveiligd door er alle mitigations op toe te passen.
Maar de mogelijkheid om via
EMET\ Configure Apps\ File\ Import\ --> \Program Files\EMET\Deployment\Protection Profiles\All.xml
de mitigations toe te kunnen passen op een voorgeselecteerde selectie programma's, dat had ik eerder over het hoofd gezien.
Best handig. Ook al heb ik de meeste van de voorgeselecteerde applicaties niet op mijn systeem staan, voor de paar waarvoor dat wel geldt is het handig dat daarvoor automatisch keurig de mitigations worden toegepast.


[wijziging: correctie van een typo + enkele aanpassingen in de opmaak]
13-02-2013, 16:48 door Anoniem
Als je op de gespecialiseerde ICT websites of blog-sites van ICT professionals gaat kijken, dan wordt steeds sterk aangeraden om deze applicatie te installeren als aanvullende beveiliging. Wie ben ik om hen tegen te spreken…
13-02-2013, 17:01 door Anoniem
MS heeft de mogelijkheden om dit product op te nemen als standaard onderdeel in het OS, waar wachten ze nog op?
Wat mij betreft prima programma, ik heb het al lange tijd draaien en dan toegepast op alle programma's die direct in het geheugen actief zijn en meerdere browsers. Nog nooit compatibiliteitsproblemen mee gehad.
Ook qua performance heeft dit programma geen merkbare gevolgen.
13-02-2013, 17:28 door vimes
Als ik het goed begrijp vangt EMET dus de tekortkomingen van windows af. Wat moet ik straks gaan draaien om mij weer te beveiligen tegen tekortkomingen in EMET? En hoeveel CPU kost dat allemaal weer?
Het lijkt mij beter als microsoft de problemen gewoon bij de bron aanpakt. In windows dus!
13-02-2013, 20:17 door Anoniem
Geinstalleerd volgens de aanwijzingen, maar als ik ok dan opent IE9. Hoef overigens niet te herstarten. Wat je in het filmpje ziet, die lijst, die krijg ik niet.
13-02-2013, 23:27 door Anoniem
Ik heb toch ESET al op mijn PC .
14-02-2013, 00:41 door Anoniem
Door vimes: Als ik het goed begrijp vangt EMET dus de tekortkomingen van windows af. Wat moet ik straks gaan draaien om mij weer te beveiligen tegen tekortkomingen in EMET?
Nee.
EMET bied je de mogenlijkheid om beveiligings opties te 'forceren/implementeren' op geinstalleerde programma's die niet specifiek geprogrammeerd zijn om sommige van die opties zelf toe te passen, zoals bijv. DEP en ASLR.
En hoeveel CPU kost dat allemaal weer?
Nada.
14-02-2013, 14:26 door Spiff has left the building
Door Anoniem, gisteren, 23:27 uur:
Ik heb toch ESET al op mijn PC.
Wat bedoel je daar precies mee?

Het enkel installeren van EMET verandert niets.
Om door middel van EMET de beveiliging te verbeteren moet EMET geconfigureerd worden.

Heb je niet eerder al op een andere manier DEP inschakeld voor alle programma's en services en/of SEHOP inschakeld, dan kan dat worden uitgevoerd door middel van EMET, Configure System.

En via EMET, Configure Apps kun je de EMET mitigations toepassen op een voorgeselecteerde selectie programma's, zoals ik dat in mijn bericht van gisteren 16:14 uur aangaf.

Die beide dingen, Configure System en Configure Apps, die worden niet standaard al uitgevoerd door EMET te installeren, je moet die configuraties zelf uitvoeren.
14-02-2013, 18:11 door Spiff has left the building
Door Anoniem, gisteren, 17:01 uur:
Nog nooit compatibiliteitsproblemen mee gehad.
Ik ben er ééntje tegengekomen, met EMET 3.5 Tech Prieview.
De ROP mitigations in EMET 3.5 Tech Prieview (niet beschikbaar in EMET 3.0) die hebben bij toepassing op IE9 het vreemde gevolg dat EMET ingrijpt en IE9 vastloopt wanneer het Windows Knipprogramma (Snipping Tool) wordt gebruikt om een knipsel/schermopname (screen capture) te maken van IE9.
Dit gaat opgelost worden in de final release.
http://krebsonsecurity.com/2012/09/internet-explorer-users-please-read-this/comment-page-1/#comment-111240
http://social.technet.microsoft.com/Forums/ar-SA/emet/thread/2aee15fb-d339-4d5e-b403-9d221c6b8ffb

Ook qua performance heeft dit programma geen merkbare gevolgen.
In principe niet nee, en dat is ook mijn ervaring.
Maar er waren wel meldingen van gevallen waarbij een raar hoog cpu-gebruik optrad met Firefox en Google Chrome, eveneens door de ROP mitigations:
http://www.wilderssecurity.com/showthread.php?p=2122311#post2122311
http://social.technet.microsoft.com/Forums/en-US/emet/thread/790be646-e4b5-4d77-bb1d-4c58a599c2d0
14-02-2013, 18:21 door Spiff has left the building
Door Anoniem, gisteren, 20:17 uur:
Geinstalleerd volgens de aanwijzingen, maar als ik ok dan opent IE9.
Na het toepassen van EMET op IE9?
Ik herinner me dat niet, ik weet niet of dat normaal gedrag is, of dat er bij jou wat afwijkends gebeurde.

Wat je in het filmpje ziet, die lijst, die krijg ik niet.
Wellicht gebruik je EMET 3.0?
Als ik me niet vergis is die mogelijkheid tot het toe kunnen passen van de mitigations op een voorgeselecteerde selectie programma's (via Configure Apps\ File\ Import) alleen aanwezig in EMET 3.5 Tech Prieview, en nog niet beschikbaar in EMET 3.0.
15-02-2013, 19:48 door Anoniem
@Spiff: Ik gebruik idd 3.0, omdat 3.5 nog beta is, maar Microsoft legt momenteel de laatste hand aan EMET 3.5, dus daar wacht ik dan maar op.
16-02-2013, 22:44 door Spiff has left the building
Door Anoniem, vr.15-2, 19:48 uur:
@Spiff: Ik gebruik idd 3.0
Dank je, dat is dan duidelijk.
En ja, zoals ik al aangaf, als ik me niet vergis is die mogelijkheid tot het toe kunnen passen van de mitigations op een voorgeselecteerde selectie programma's (via Configure Apps\ File\ Import) nog alleen aanwezig in EMET 3.5 Tech Prieview, en nog niet beschikbaar in EMET 3.0.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.