Microsoft wapent Windows tegen hackers met EMET 4.0
Microsoft heeft een nieuwe versie van de gratis beveiligingstool EMET gelanceerd die Windows-gebruikers nog beter tegen aanvallen beschermt. EMET staat voor Enhanced Mitigation Experience Toolkit en zorgt ervoor dat verschillende technieken waarmee beveiligingslekken worden misbruikt niet meer werken. Windows beschikt zelf over verschillende verdedigingsmaatregelen.
Het gaat dan om technieken zoals Dynamic Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR). Veel programma's van derden maken hier geen gebruik van, waardoor het eenvoudiger wordt voor een aanvaller om een kwetsbaarheid te misbruiken.
Daarnaast voegt EMET ook verschillende nieuwe beveiligingsmaatregelen toe die nog niet standaard in Windows actief zijn. Hierdoor zouden computers tegen zero-day-aanvallen beschermd zijn en tegen exploits die misbruik maken van lekken waarvoor de gebruiker een beschikbare update niet heeft geïnstalleerd.
Certificaten
EMET 4.0 bevat een aantal grote verbeteringen. Zo is de tool in staat om aanvallen te detecteren waarbij verdachte SSL/TLS certificaten worden gebruikt. Daarnaast is de beveiliging aangescherpt, waardoor bepaalde manieren waardoor hackers en onderzoekers de beveiliging van EMET 3.5 konden omzeilen niet meer werken. Verder zijn nu meer applicaties compatibel met EMET
Twee andere nieuwe opties moeten meer inzicht in de omvang en werking van exploits geven. Het 'Early Warning Program' dat gebruikers kunnen inschakelen is vooral voor bedrijven bedoeld. Zodra EMET een exploit of aanval waarneemt, wordt er een waarschuwing naar een bedrijfsapplicatie en Microsoft gestuurd.
Onderzoek
Daarnaast is er nu ook een Audit Mode, die ervoor zorgt dat gebruikers een exploit in bepaalde gevallen toch kunnen laten doorgaan. Standaard zal EMET de applicatie sluiten als er een poging tot misbruik wordt gedetecteerd, maar door deze nieuwe optie kan de exploit z'n gang gaan, wat handig is voor onderzoekers.
Naast de grote verbeteringen zijn ook allerlei kleinere aanpassingen doorgevoerd, zoals betere rapportage-opties, betere prestaties en de mogelijkheid om processen te beschermen ook al hebben ze geen .exe extensie.
De bètaversie van EMET 4.0 is gratis en nu beschikbaar voor alle ondersteunde Windows-versies. De uiteindelijke versie verschijnt op 14 mei van dit jaar.
Ik vind het ook echt een mooie tool! In plaats van achteraf lekken dichten en malware detecteren is het ook wel prettig dat je preventief ook een flinke slag kan maken.
EMET 3.5 is toch ook nog steeds in beta?
Op de TechNet Blogs pagina wordt vermeld:
We plan to officially release EMET 4.0 on May 14, 2013.
[...]
This beta period is a short four weeks – we learned our lesson from the long EMET 3.5 Technical Preview about crisp timelines and short beta periods.
En welk probleem lost het op? Een niet lekker werkende oplossing van een OS voor een probleem van het OS.
Vandaag n.a.v. dit artikel Emet 4.00 geïnstalleerd in Windows 7 en Vista en Net Framework 4.5
In Programma's en Onderdelen staat ook nog Emet 3.5.
Kan ik Emet 3.5 verwijderen of moet dit aanwezig blijven?
Groeten Jan Bolten.
A: It is recommended that you first uninstall the old version of EMET via Windows Control Panel, and then manually delete the HKLM\Software\Microsoft\EMET and HKLM\Software\Policies\Microsoft\EMET keys prior to running the EMET 4.0 Beta installer.
Het nu nog verwijderen van de genoemde registry keys, dat lijkt me geen optie, en wellicht ook helemaal niet nodig.
Het nu nog deïnstalleren van EMET 3.5 Tech Preview dat is wellicht wél mogelijk, gezien het feit dat EMET 3.5 Tech Preview en EMET 4.0 Beta een andere map onder Program Files hebben. Probeer dat gewoon uit, lijkt me.
Onder EMET 3.0 en 3.5 Tech Preview kunnen de EMET mitigations worden toegepast op een voorgeselecteerde reeks programma's via
EMET\ Configure Apps\ File\ Import\
C:\Program Files\EMET\Deployment\Protection Profiles\All.xml
Onder EMET 4.0 Beta worden gelijk automatisch (dat is nieuw) de EMET mitigations toegepast op een beperkte voorgeselecteerde reeks programma's. Als ik me niet vergis is dat het profiel "Recommended Software".
Een uitgebreider profiel is nu te selecteren via
EMET\ File\ Import settings\
C:\Program Files\EMET\Deployment\Protection Profiles\Popular Software.xml
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder
Configure Apps\ Appication Configuration\ Mitigations
Als je dat wenst kun je vervolgens eventueel de niet op het systeem aanwezige programma's verwijderen uit de selectie.
Het viel me afgelopen middag al op:
Onder EMET\ Configure System\ System Configuration
is onder "Custom Settings" en onder "Recommended Security Settings" voor ASLR de optie "ASLR Always On" beschikbaar in de instellingsopties, selecteerbaar via het ASLR dropdown-menuutje via het pijltje.
En met het profiel "Maximum Security Settings" wordt "ASLR Always On" zelfs direct ingeschakeld.
Dit is zeer onwenselijk, gezien het feit dat "ASLR Always On" een 'onveilige' optie is, die slechts na een registeraanpassing beschikbaar zou horen te zijn.
Uit de EMET v4.0 Beta User Guide:
Enabling Unsafe Configurations
By default, EMET hides configuration options considered to be unsafe. These are options that have shown to cause system instability in common use scenarios. For users still wishing to configure these options, there is a registry override. After the override is applied, EMET will display the unsafe options, but will also warn the user whenever one of them is selected.
The override can be found in registry at HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET. If you do not see this key, launch the EMET GUI and refresh your view of the registry. Inside the key, there is a DWORD value called EnableUnsafeSettings. By default it has a value of 0. By setting it to 1 and restarting the EMET GUI, you can see the unsafe options.
With EMET, there is currently one unsafe option: the "Always On" setting for the system ASLR setting. Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".
Een onwenselijke en zeer waarschijnlijk onbedoelde situatie.
Het fenomeen wordt ook al hier beschreven:
"EMET 4.0 Beta Possible Bug: Unsafe System Wide ASLR Always On Available By Default"
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b
Het zal vast wel verholpen worden in de 4.0 final,
maar de bèta is hiermee zeer duidelijk nog werkelijk een bèta-versie.
Uitkijken wat je inschakelt dus!
Het viel me afgelopen middag al op:
Onder EMET\ Configure System\ System Configuration
is onder "Custom Settings" en onder "Recommended Security Settings" voor ASLR de optie "ASLR Always On" beschikbaar in de instellingsopties, selecteerbaar via het ASLR dropdown-menuutje via het pijltje.
En met het profiel "Maximum Security Settings" wordt "ASLR Always On" zelfs direct ingeschakeld.
Dit was in 3.0 ook al mogelijk, maar ASLR Always On zorgt voor een Blue Screen !
Zie dit filmpje http://www.youtube.com/watch?v=N9qCzBv3SN0
Er wordt op 1:13 aangegeven: "I chose Maximum Protection"
1:25: "The ASLR setting is gonna be set to Opt In, which is good"
1:33: "But if you do turn your ASLR setting to Always On, this may cause a problem for your computer which will cause a Blue Screen [...]"
Met de instelling EMET\ Configure System\ System Configuration\ Maximum Security Setting werd onder EMET 3.0 dus "ASLR Application Opt In" aangeboden en ingesteld. "ASLR Always On" werd niet standaard aangeboden met Maximum Security Setting, zo blijkt uit dat YouTube-filmpje.
Hetzelfde zie je hier weergegeven:
http://rationallyparanoid.com/articles/microsoft-emet-3.html
Onder EMET 4.0 echter, wordt met System Configuration\ Maximum Security Setting "ASLR Always On" wél standaard aangeboden, zoals hier weergegeven wordt:
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b
Dat is dus wel degelijk een verschil tussen EMET 3.0 en EMET 4.0 Beta.
En verder,
ik kan het nu niet toetsen doordat ik geen systeem met EMET 3.0 bij de hand heb,
maar het was mijn ervaring met EMET 3.0 en met EMET 3.5 Tech Preview dat de mogelijkheid om onder EMET\ Configure System\ System Configuration te kiezen voor "ASLR Always On" 'grayed out' was, grijs gedimd weergegeven en niet beschikbaar.
Nogmaals, ik kan dat nu niet toetsen, maar dat is zoals ik het me herinner van EMET 3.0.
Ik kan me daarmee uiteraard vergissen.
Zou "ASLR Always On" wél te kiezen zijn via EMET\ Configure System\ System Configuration (ook al onder EMET 3.0), dan zou dat in tegenspraak zijn met de EMET User Guide die aangeeft dat het kiezen voor de onveilige optie "ASLR Always On" pas mogelijk is na een registeraanpassing die die onveilige optie beschikbaar maakt.
het feit dat in EMET 4.0 Beta de optie "ASLR Always On" beschikbaar is in de instellingsopties, terwijl dat slechts na een registeraanpassing beschikbaar zou horen te zijn,
dat heb ik gemeld aan EMET Feedback <emet_feedback@microsoft.com>
Ik nam aan dat het al gemeld was, gezien het feit dat het op meerdere plekken online al vermeld wordt:
http://social.technet.microsoft.com/Forums/en-US/emet/thread/0a2aa574-8993-4caf-938d-3af30b73479b
http://www.wilderssecurity.com/showthread.php?p=2219263#post2219263
maar ik meldde het zekerheidshalve toch maar even.
Hetzelfde geldt voor het verschijnsel dat ingelogd in een Standaardgebruikersaccount bij het openen van de EMET 4.0 Beta GUI een melding verschijnt "EMET Agent status: not running".
Die melding verschijnt niet wanneer de EMET 4.0 Beta GUI geopend wordt in een Administrator-account.
Dat wordt ook hier vermeld:
http://www.wilderssecurity.com/showthread.php?p=2218877#post2218877
In slechts enkele minuten na mijn feedback reageerde Microsoft al:
"We are aware of both issues and we are looking into those.
Please let me know if you find other issues with the beta, we are happy to receive feedback."
Die twee issues zullen dus wellicht opgelost worden met de EMET 4.0 final.
Mischien een goed idee als Microsoft deze nieuwe EMET-versie gewoon verspreidt via windows upate?
Wel zo gemakkelijk voor de gebruikers van windows.
omdat het bèta's zijn.
De EMET 4.0 final zou voor wie al een eerdere EMET versie gebruikt eventueel wél als optionele update aangeboden kunnen worden via Microsoft Update (Windows Update met Microsoft Update ingeschakeld, "Updates voor andere Microsoft producten").
Maar of dat mogelijk gebeurt, of niet, daar heb ik geen enkel idee van. Ik ken echter geen enkel (eerder) bericht dat het aanbieden van EMET via Microsoft Update vermeldt, dus het lijkt vooralsnog beslist weinig waarschijnlijk.
Mocht iemand merken dat vanaf 14 mei EMET 4.0 final eventueel werkelijk als optionele update wordt aangeboden via Microsoft Update, dan zou dat interessant zijn.
Het is ook al raar dat we zelf de 3.0 moeten verwijderen, alvorens de 4.0 binnen te halen.
Of dit ook gold bij de update van EMET 2.0 naar EMET 3.0, en binnenkort geldt bij update van EMET 3.0 naar EMET 4.0 final, dat is me niet bekend.
Is het zo dat ook bij updaten van EMET 3.0 naar EMET 4.0 final geldt dat de gebruiker zelfstandig de oude versie dient te verwijderen, dan is dat inderdaad wat ongepolijst. Als dat zo is, dan is dat enkel te verdedigen met het feit dat EMET nog steeds vooral op de meer dan gemiddeld technisch vaardige gebruiker is gericht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
