image

Onderzoeker: bedrijven moeten Microsoft EMET gebruiken

donderdag 2 juli 2015, 15:14 door Redactie, 8 reacties

Bedrijven kunnen door het installeren van de Microsoft Enhanced Mitigation Experience Toolkit (EMET) het veel lastiger voor aanvallers maken om toegang tot systemen en netwerken te krijgen. Dat stelt onderzoeker Grant Willcox. Hij besloot voor zijn proefschrift naar de effectiviteit van EMET 5.1 te kijken.

EMET is een gratis tool van Microsoft die het lastiger maakt voor aanvallers om zowel bekende als onbekende kwetsbaarheden in programma's te gebruiken. Wilcox besloot drie exploits aan te passen om te kijken of hij de beveiliging van EMET hiermee kon omzeilen. Met één exploit slaagde de onderzoeker hierin. Hij had echter de hypothese gesteld dat het mogelijk was om met alle drie de exploits EMET te omzeilen. Aangezien dit niet is gelukt laat het volgens Wilcox de effectiviteit van de beveiligingstool zien.

Aanrader

De onderzoeker stelt dat aan de hand van de resultaten het aan te bevelen is dat bedrijven EMET 5.1 of nieuwer gebruiken, aangezien het een "zeer effectieve oplossing" is om te voorkomen dat aanvallers gebruik maken van veelvoorkomende problemen binnen programma's. "Het zal waarschijnlijk niet voorkomen dat een vastberaden aanvaller exploits zal gebruiken om toegang tot het bedrijfsnetwerk te krijgen, maar het zal minder vastberaden aanvallers afschrikken en hen dwingen om alternatieve oplossingen te gebruiken."

Bedrijven die ervoor kiezen om EMET uit te rollen moeten wel het aanbevolen profiel binnen EMET gebruiken. EMET kent verschillende profielen voor programma's om het beveiligingsniveau mee te bepalen. Door het uitvoeren van tests kan vervolgens worden gekeken of hogere beveiligingsinstellingen mogelijk zijn zonder dat programma's crashen. "Hoewel de beveiliging van EMET niet waterdicht is, verhoogt het de lat behoorlijk om programma's aan te vallen", besluit Wilcox.

Reacties (8)
02-07-2015, 15:45 door Anoniem
Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.
02-07-2015, 20:30 door Anoniem
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.

???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.
03-07-2015, 08:05 door Anoniem
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.

EMET is via GPO te beheren.
03-07-2015, 08:18 door Anoniem
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.
je kan EMET managen via group policies; de ADMX files vind je hier: C:\Program Files (x86)\EMET 5.1\Deployment\Group Policy Files
Er zijn nog andere mogelijkheden, zonder group-policies: http://blogs.technet.com/b/kfalde/archive/2014/04/30/configuring-emet-via-gpo-gpp-w-o-using-the-admx-files.aspx
03-07-2015, 08:55 door Anoniem
Door Anoniem:
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.

???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.

Als je landelijk een aantal duizenden PC's beheerd is dat goed te doen natuurlijk ^^.
En je wil juist NIET dat die gebruikers met die UI (en je veiligheidsinstellingen) gaat lopen spelen?
Het gaat hier over bedrijfstoepassingen overigens en niet over thuisgebruik.
03-07-2015, 09:26 door Anoniem
Door Anoniem:
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.

???
Voor het overgrote deel van de gebruikers zijn de default instellingen, en de gewone UI prima.

Maar hoe wil je dit beheren in een corporatie?
Ik zie een admin nog niet 500+ werkplekken bezoeken om dan even een setting aan te passen.
03-07-2015, 10:44 door Anoniem
Door Anoniem:Maar hoe wil je dit beheren in een corporatie?
Ik zie een admin nog niet 500+ werkplekken bezoeken om dan even een setting aan te passen.
Bij een corporatie hebben ze hopelijk hun werkplek beheer gecentraliseerd en maken ze gebruik van tools asl SCCM en Group Policies binnen AD. Dan kun je het best behappen, lijkt me.
03-07-2015, 14:49 door Anoniem
Door Anoniem:
Door Anoniem: Moeten ze EMET direct controlable maken via management tools, niet dat ik zelf even een registry value moet aanpassen om iets te laten werken wat niet ondersteund wordt.
je kan EMET managen via group policies; de ADMX files vind je hier: C:\Program Files (x86)\EMET 5.1\Deployment\Group Policy Files
Er zijn nog andere mogelijkheden, zonder group-policies: http://blogs.technet.com/b/kfalde/archive/2014/04/30/configuring-emet-via-gpo-gpp-w-o-using-the-admx-files.aspx

Nieuw voor mij, moet ook zeggen dat ik EMET tot V4 volgde en daarna niet meer.

Netjes dus :).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.