image

Microsoft beveiligt Windows met gratis EMET 4.0

dinsdag 18 juni 2013, 09:27 door Redactie, 20 reacties

Een maand later dan gepland heeft Microsoft de uiteindelijke versie van EMET 4.0 gelanceerd, een gratis tool die Windows-gebruikers tegen hackers en exploits moet beschermen. EMET staat voor Enhanced Mitigation Experience Toolkit en zorgt ervoor dat verschillende technieken waarmee beveiligingslekken worden misbruikt niet meer werken.

Windows beschikt zelf over verschillende verdedigingsmaatregelen zoals Dynamic Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR). Veel programma's van derden maken hier geen gebruik van, waardoor het eenvoudiger wordt voor een aanvaller om een kwetsbaarheid te misbruiken.

Bescherming
Daarnaast voegt EMET ook verschillende nieuwe beveiligingsmaatregelen toe die nog niet standaard in Windows actief zijn. Hierdoor zouden computers tegen zero-day-aanvallen beschermd zijn en tegen exploits die misbruik maken van lekken waarvoor de gebruiker een beschikbare update niet heeft geïnstalleerd.

EMET 4.0 bevat een aantal grote verbeteringen. Zo is de tool in staat om aanvallen te detecteren waarbij verdachte SSL/TLS certificaten worden gebruikt. Daarbij is het mogelijk om SSL-certificaten te 'pinnen', zodat bijvoorbeeld man-in-the-middle-aanvallen via vervalste certificaten kunnen worden herkend.

verschillende certificaten worden door EMET standaard ondersteund, zoals die van Microsoft zelf, Twitter, Facebook en Yahoo. Daarnaast is de beveiliging aangescherpt, waardoor bepaalde manieren waardoor hackers en onderzoekers de beveiliging van EMET 3.5 konden omzeilen niet meer werken. Verder zijn nu meer applicaties compatibel met EMET.

Gebruikersinterface
Microsoft heeft ook de gebruikersinterface onderhanden genomen. "De oude grafische gebruikersinterface was niet zo effectief en gebruiksvriendelijk", zegt Jonathan Ness van het EMET Team. Een andere maatregel om de gratis security-tool toegankelijk te maken is een configuratiewizard, die gebruikers bij de eerste stappen helpt.


Met dank aan Erik voor de tip

Reacties (20)
18-06-2013, 09:44 door Anoniem
Mooi tool dit!
18-06-2013, 10:16 door Rubbertje
En nu is het afwachten wanneer EMET gekraakt wordt.
18-06-2013, 11:31 door Spiff has left the building
Voor wie dit leest, maar niet wat ik gisteravond laat en eerder vanochtend als forumberichten plaatste, zie dit:

1.
Voor wie zich afvraagt of een eerdere EMET-versie gedeïnstalleerd moet worden voorafgaand aan het installeren van EMET 4.0, het antwoord is: EMET 3.0 niet, maar EMET 3.5 Tech Preview en EMET 4.0 Beta wel.

Zie:

If you have EMET 4.0 Beta or EMET 3.5 Technical Preview installed on the system, you will need to uninstall them before installing EMET 4.0, and you will need to remove EMET’s configuration from the registry, by deleting the registry hives HKLM\Software\Microsoft\EMET and, if existing, HKLM\Software\Policies\Microsoft\EMET. If you have EMET 3.0 installed on the system, you don’t need to uninstall it before installing EMET 4.0. The previous version will be uninstalled and at the end of the installation you’ll have the opportunity to migrate the existing settings or to reset EMET configuration with the new default settings.

http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx


2.
Een aandachtspunt:
Let op dat in EMET 4.0\ Apps\ Application Configuration\ Deep Hooks is aangevinkt.
Op mijn systeem bleek dat na de standaardconfiguratie niet het geval.
Deep Hooks is simpel genoeg alsnog aan te vinken, maar het zou zonde zijn wanneer dat niet uitgevoerd werd.

EMET 4.0 User Guide over Deep Hooks (pagina 13):

1.2.9 Advanced Mitigations

EMET 4.0 introduces additional mitigation options that apply to all configured software. The additional mitigations introduced for this version are only for the ROP mitigations, and when enabled or disabled they will affect all the programs that have at least one ROP mitigation configured in EMET.
[...]
Deep hooks: EMET will protect critical APIs and the subsequent lower level APIs used by the top level critical API. For example, EMET will not only hook and protect kernel32!VirtualAlloc but also the related lower level functions, such as kernelbase!VirtualAlloc and ntdll!NtAllocateVirtualMemory.

18-06-2013, 11:39 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 11:56 door Spiff has left the building
Door Functietoets:
Kunnen ze emet dan niet standaard in Windows inbouwen?
Zou wat handiger zijn.
Dat is een goeie vraag, die al vaker gesteld is.
Kunnen - vast wel.
Maar er zullen wellicht redenen zijn om dat niet te doen.
1. EMET was/is te moeilijk voor een deel van de Windows-gebruikers, met potentie om er problemen mee te creëren.
2. EMET is een aanvulling met technieken die nog niet toegepast werden bij de uitgave van de opeenvolgende Windows-versies, en daardoor per definitie niet beschikbaar om die al gelijk te integreren in Windows. Wel zou het naderhand integreren door middel van updates misschien mogelijk kunnen zijn. Een mogelijke reden om dat desondanks niet te doen is dat EMET een 'proeftuin' van nieuwe technieken bevat, waarvoor geldt wat ik onder punt 1 vermeldde: 'moeilijk' en met potentie om er problemen mee te creëren.
Ik kan me voorstellen dat dat argumenten zouden kunnen zijn om EMET niet te integreren in Windows, al zullen er ook andere redenen kunnen bestaan.
18-06-2013, 15:07 door Spiff has left the building
Door Bastos:
En nu is het afwachten wanneer EMET gekraakt wordt.
Het betreft niet één te kraken mechanisme, maar de toepassing van een verzameling technieken.
EMET dekt daarmee heel veel af, maar in de loop der tijd worden (uiteraard) nieuwe aanvalstechnieken ontwikkeld waartegen de bestaande of eerdere EMET mitigations potentieel nog onvoldoende bescherming bieden. De kunst is om dit zo veel mogelijk al vóór te zijn door EMET te blijven ontwikkelen en nieuwe technieken aan EMET toe te voegen.

Dit spel was ook het afgelopen jaar aan de gang. EMET 3.0 bood nog bescherming, maar er werden op een gegeven moment al enkele aanvalstechnieken ontdekt die EMET 3.0 konden passeren. EMET 3.5 Tech Preview, dat dateerde van enkele maanden na EMET 3.0, dat bleek echter nog niet te passeren, en hetzelfde geldt nog voor EMET 4.0.

De huidige EMET 4.0 is dan ook niet slechts EMET 3.0 of 2.0 in een nieuw jasje, maar biedt een pakket aan technieken dat veel verder gaat dan dat van eerdere EMET versies, en dat momenteel nog veel toegevoegde bescherming biedt. Op een gegeven moment zullen er echter weer aanvalstechnieken ontwikkeld worden waartegen de huidige EMET mitigations op dat moment onvoldoende bescherming meer bieden, en dan moet een EMET 4.5 of EMET 5.0 het overnemen.
18-06-2013, 17:33 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 17:59 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 18:05 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 18:16 door Spiff has left the building
Door AnonymousSecurity:
Hebben ze dat probleem met de google browser dan opgelost? Want als je die gebruikte icm emet 4.0 Beta kreeg je geen pagina te zien.
Ik weet het niet zeker, ik heb geen ervaring met Chrome.
Mogelijk weet iemand anders het, of je kunt het zelf uitproberen.

Maar de EMET 4.0 User Guide geeft Google Chrome aan als compatible, met een uitzondering voor de EMET 4.0 SEHOP mitigation voor Chrome onder Windows XP/Server 2003 en Windows Vista/Server 2008.
De EMET 4.0 SEHOP mitigation implementatie betreffende Google Chrome is enkel geschikt voor Windows 7/Server 2008R2 en latere versies.
Alle ándere EMET mitigations voor Chrome buiten SEHOP zijn volgens de EMET 4.0 User Guide geschikt voor álle Windows versies vanaf XP.
18-06-2013, 18:22 door Spiff has left the building
Door AnonymousSecurity:
Hebben ze dat probleem met de google browser dan opgelost?
Door Cantalibre:
Je moet dan Sehop uitvinken in Emet.
Ah, je was me voor, Cantalibre, zag ik toen ik mijn reactie van 18:16 uur geplaatst had.
En inderdaad, de SEHOP mitigation niet aanvinken voor Chrome is nodig voor Windows XP/Server 2003 en Windows Vista/Server 2008.
Voor Windows 7/Server 2008R2 en latere versies zou de SEHOP mitigation wel compatible zijn met Chrome, althans, volgens de EMET 4.0 User Guide.
18-06-2013, 18:37 door Spiff has left the building
Door Cantalibre, 17:59 uur:
Ik vraag me alleen af, zijn nu alle fouten uit 4.0?
Laten we hopen, zo veel mogelijk?

Is EMET eigenlijk wel voor de thuisgebruiker? Welke kennis heb je nodig voor EMET, volgens mij kan elke thuisgebruiker hiermee omgaan, zolang die er maar niet mee gaat knutselen ;-)
EMET is vooral geschikt voor de enigszins gevorderde gebruiker, denk ik.
Dat EMET 4.0 final geïnstalleerd kan worden met een automatische configuratie, dat helpt, en maakt het beter geschikt voor minder gevorderde gebruikers.

Is het zelf doen van All Profiles nog nodig?
Dat profiel heet nu "Popular Software".
Het omvat meer software dan het bij de standaard-configuratie geïnstalleerde profiel "Recommended Software".
Het importeren van "Popular Software" kan wel degelijk nuttig zijn. Het neemt je de taak uit handen zelf die in dat profiel opgenomen software een voor een te moeten toevoegen via Apps\ Application Configuration.
18-06-2013, 18:44 door Anoniem
En nou de belangrijkste vraag: komt Emet 4 tot ons via de Windows update en zo ja,wanneer kunnen we deze verwachten?
18-06-2013, 18:58 door [Account Verwijderd]
[Verwijderd]
18-06-2013, 19:55 door Spiff has left the building
Door Anoniem, 18:44 uur:
En nou de belangrijkste vraag: komt Emet 4 tot ons via de Windows update en zo ja,wanneer kunnen we deze verwachten?
Dan zou Windows Update wellicht ten mínste uitgebreid moeten zijn naar "Microsoft Update" (via "Updates voor andere Microsoft-producten downloaden"), zodat ook Microsoft producten die geen onderdeel zijn van Windows aangeboden worden.
Maar of EMET 4.0 dan automatisch als update wordt aangeboden voor EMET 3.0 gebruikers?
Ik heb er nergens wat over vermeld gezien, ik vermoed daarom van niet.
18-06-2013, 22:05 door AdHd
Uit https://www.security.nl/artikel/46559/1/Secunia_%2C_dit_zijn_de_10_kwetsbaarste_progamma%27s.html
Door Cantalibre: Okay mijn dank AdHd .. Wat vind je trouwens, Emet 4.0 ook op oude XP machines zetten ? Is die 4.0 nu al zonder fouten, of is afwachten beter, totdat alle fouten eruit zijn ? En is het eigenlijk wel voor de thuisgebruiker als ik alles zo lees ?
&
Door Cantalibre: Ik vraag me alleen af, zijn nu alle fouten uit 4.0 ? Is EMET eigenlijk wel voor de thuisgebruiker ? Welke kennis heb je nodig voor EMET, volgens mij kan elke thuisgebruiker hiermee omgaan, zolang die er maar niet mee gaat knutselen ;-) Ik zet EMET wel alleen op machines waarvan ik weet dat die mensen er verder niks mee doen. Een keer was er een probleem met SAS{ SuperAntiSpyware } die een ander in EMET had gezet en er volgens mij dan twee keer instond. Machine liep vast en EMET blokkeerde SAS.
Als aanvulling op wat Spiff al vermeld:

EMET is een verzameling van 'tools' die al in (latere) Windows versies standaard aanwezig zijn, maar niet noodzakelijkerwijs ingeschakeld zijn. Kort gezegd is EMET zelf geen beveiliging, maar meer een extra configuratiescherm.
Fouten in EMET zijn dus niet echt waarschijnlijk, en ook niet echt van groot belang voor de veiligheid. Daarnaast krijgt EMET nooit kleine updates of nieuwe definities zoals een AV, enkel geheel nieuwe versies.

Het grote nut van EMET is dat fouten in andere software (OS, browser, Office, Java, Office, VLC, 7Zip noem maar op) niet meer zo eenvoudig kunnen worden misbruikt door malware en (0-day) exploits.

De nadelen van EMET zijn dat sommige software niet helemaal correct, -of zelfs helemaal niet- werkt zonder EMET verder in te stellen voor de betreffende applicatie & dat de instellingen van EMET net wat ingewikkelder zijn dan de gemiddelde App-Note-Muis...

Als je toch al gewend bent om met EMET 3.0 te werken lijkt 4.0 me alleen maar makkelijker en dus zeker aan te raden. Voor eindgebruikers die niet veel meer willen dan even Tw#t-Face-Boeken, is EMET wellicht wat te hoog gegrepen...
18-06-2013, 22:52 door [Account Verwijderd]
[Verwijderd]
14-07-2013, 22:39 door Mysterio
Ik heb wel gemerkt dat als je de installatie standaard uitvoert ik op mijn Windows 7 64 bit met IE 10 en Firefox 22 SEHOP uit moest zetten anders crachen ze beiden. Ik weet niet of het aan een plugin ligt of dat Microsoft toch iets niet helemaal goed gedaan heeft met IE.

Zet ik SEHOP uit dan werkt het als een zonnetje.

XP 32 bit heeft dit probleem volgens mij niet met IE 8 en Firefox 22.

Ik vind het wel vervelend dat .NET Framework 4.0 nodig is. Dat is nogal een flinke installatie met alle updates er achteraan. Zat er standaard met mijn Windows 7 bakkies niet op.
14-07-2013, 23:05 door Spiff has left the building
Door Mysterio:
Ik heb wel gemerkt dat als je de installatie standaard uitvoert ik op mijn Windows 7 64 bit met IE 10 en Firefox 22 SEHOP uit moest zetten anders crachen ze beiden.
Bedoel je SEHOP onder EMET\ System Status -- dus system wide,
of bedoel je onder EMET\ Apps\ Application Configuration\ Mitigations -- het uitschakelen van de SEHOP mitigation voor IE en Firefox?
11-11-2013, 19:28 door Anoniem
Door Anoniem: Mooi tool dit!

Prachtig! Na installatie van EMET wordt Internet Explorer volledig lamgelegd. EMET dus snel weer verwijderd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.