image

Gratis Windowsbeveiliging EMET blokkeert alle exploits in test

donderdag 14 november 2013, 11:41 door Redactie, 11 reacties

Een gratis programma van Microsoft om Windowsgebruikers te beveiligen blijkt zeer effectief te zijn in het stoppen van exploits die misbruik van lekken maken. Dat blijkt uit onderzoek van anti-virusbedrijf F-Secure, dat onderzocht hoe bedrijven zich tegen gerichte aanvallen kunnen beschermen.

Er werd met 930 documenten getest die exploits voor Adobe Acrobat 8, Adobe Flash Player 6 en Office 2003 bevatte. Er werd opzettelijk met verouderde software getest om zoveel mogelijk exploits te laten werken. Bij de test werd naar verschillende beveiligingsmaatregelen gekeken, zoals het gebruik van applicatie-sandboxes, geheugenbeveiliging van de applicatie en beveiligingsinstellingen van de applicatie en het besturingssysteem zelf.

In het geval van een sandbox werd met Sandboxie 3.76 Pro getest, terwijl in Adobe Acrobat JavaScript, de multimedia player, het openen van niet-PDF-bijlagen en het vertrouwen van multimedia-onderdelen werd uitgeschakeld. Voor de geheugenbeveiliging werd Microsofts Enhanced Mitigation Experience Toolkit (EMET) gebruikt.

Instellingen

Sandboxie bleek in 452 gevallen alle exploits te stoppen waarbij werd geprobeerd om malware te installeren. Het instellen van beveiligingsmaatregelen in de applicaties zelfs voorkwam 80% van de exploits. Beveiligingsinstellingen van het besturingssysteem blijken nauwelijks bescherming te bieden. Het was echter Microsoft EMET dat alle exploits stopte.

F-Secure merkt op dat er claims zijn dat EMET omzeild kan worden, maar dit soort exploits zouden zeer bijzonder zijn en zijn bij het anti-virusbedrijf niet bekend. In het onderzoeksdocument geeft de virusbestrijder verschillende tips hoe organisaties en gebruikers zich kunnen beschermen, waaronder een combinatie van EMET en beveiligingsinstellingen in de applicaties zelf.

Reacties (11)
14-11-2013, 13:57 door Anoniem
Als EMET alle aanvallers stopt, zou het wel leuk zijn, om de juiste instellingen van het programma te mogen weten.
Zo wie voelt zich aangesproken om deze hier te plaatsen.
14-11-2013, 14:08 door tarunjj
Heel mooi, maar als ik EMET installeer wil Outlook niet meer opstarten. Dat is me iets te veilig.
14-11-2013, 14:21 door Anoniem
EMET houdt geen Java exploits tegen.
14-11-2013, 14:52 door giant
Door tarunjj: Heel mooi, maar als ik EMET installeer wil Outlook niet meer opstarten. Dat is me iets te veilig.
Dat hangt van de instellingen van EMET af. Je kunt bijvoorbeeld Outlook verwijderen uit de lijst van programma's die worden gecontroleerd.
14-11-2013, 15:28 door Anoniem
Ik heb de instellingen uit het onderzoeksdocument waarnaar in het artikel wordt verwezen
ingesteld, en het eerste programma dat een Caller Mitigation melding weergeeft en wordt afgesloten is internet Explorer.
Nadat ik in EMET configuratie in ROP de Caller optie heb uit gevinkt, werkt Explorer weer gewoon.

De vraag is natuurlijk, is hier wat aan de hand, of EMET niet goed met Explorer, of er is sprake van een probleem.
Ingeval het laatste, hoe kom ik er achter wat het probleem is.
De conclusie die ik voorlopig meen te mogen trekken, is, dat EMET meer vragen oproept, dan
dat het een veilig gevoel geeft.
14-11-2013, 16:34 door Anoniem
Vreemd.. hier totaal geen last van EMET en Outlook..
14-11-2013, 21:10 door Anoniem
Door Anoniem: Als EMET alle aanvallers stopt, zou het wel leuk zijn, om de juiste instellingen van het programma te mogen weten.
Zo wie voelt zich aangesproken om deze hier te plaatsen.
.

http://www.winhelp.us/microsoft-emet.html
14-11-2013, 21:16 door Anoniem
Mogelijk worden de problemen met Outlook en IE veroorzaakt door een plug-in. De versie kan natuurlijk ook een groot verschil maken.
24-11-2013, 23:07 door Spiff has left the building - Bijgewerkt: 06-12-2013, 00:19
Door Anoniem, 14-11-2013, 13:57 uur:
Als EMET alle aanvallers stopt, zou het wel leuk zijn, om de juiste instellingen van het programma te mogen weten.
Zo wie voelt zich aangesproken om deze hier te plaatsen.
Door Anoniem, 14-11-2013, 21:10 uur:
http://www.winhelp.us/microsoft-emet.html

Een late reactie van mij,
aanvullend op wat Anoniem, 14-11-2013, 21:10 uur tipte,
voor wie er eventueel nog wat aan kan hebben.

Hieronder een beschrijving van de EMET 4.1 instellingen zoals ik die toepas.
(Een ander kan andere voorkeuren hebben.)


Bij het installeren van EMET, kies "Use Recommended settings".
Na installeren,
open de EMET gebruikersinterface, en maak instellingen naar wens:

EMET\ Skin:
Kies een skin naar eigen voorkeur.
Ik kies Seven Classic.

EMET\ Quick Profile:
Probeer de instelling "Maximum security settings".
Dat levert de volgende instellingen:
DEP: "Always On"
SEHOP: "Always On" (Vista) of "Application Opt Out" (Windows 7 en 8)
ASLR: "Application Opt In"
Pinning: "Enabled"

Levert DEP "Always On" op een gegeven moment onverhoopt een probleem met een of meerdere applicaties, gebruik voor DEP dan de instelling "Application Opt Out".
Onder EMET Quick Profile wordt dan vervolgens weergegeven "Custom security settings".
(Er bestaat in dat geval de kans dat elders in Windows dan een uitzondering voor DEP ingesteld moet worden voor die betreffende applicatie(s).
Dat doe je dan zo nodig onder
Configuratiescherm\ Systeem en onderhoud\ Systeem\
Geavanceerde systeeminstellingen\ Prestaties\ Instellingen\ DEP\
"DEP voor alle programma's en services inschakelen, behalve voor de hieronder geselecteerde"
waar je dan zo nodig de applicatie(s) kunt toevoegen die uitgesloten moet(en) worden van controle door DEP.)

Verder,
verwijder het relatief beperkte standaard-profiel "Recommended Software":
EMET\ Apps:
Selecteer onder Appication Configuration\ Mitigations alle apps waarop mitigations zijn toegepast (dat is na de standaard-configuratie het profiel "Recommended Software"),
alle apps selecteren dat doe je door middel van het indrukken en vasthouden van de Shift-toets en vervolgens de eerste en de laatste app aanklikken en dan de Shift-toets loslaten.
Rechtsklik en kies "Disable All Mitigations",
klik nu het rode kruis, "Remove Selected",
Bevestig met OK.

Nu installeer je vervolgens het uitgebreidere profiel "Popular Software".
EMET\ Import:
kies:
C:\Program Files\EMET 4.1\Deployment\Protection Profiles\Popular Software.xml
Dit past de EMET mitigations toe op een relatief uitgebreide voorgeselecteerde reeks programma's.
Het toepassen van EMET op deze selectie wordt vervolgens weergegeven onder Apps\ Appication Configuration\ Mitigations.

EMET\ Apps\ Appication Configuration:
Vink daar ook aan "Deep Hooks".
N.B.
aanvulling 6-12-2013, betreffend Deep Hooks:

Onder Windows 8 en Windows 8.1 is het wellicht beter om Deep Hooks niet aan te vinken.
Zie de reacties hieronder,
https://www.security.nl/posting/369778#posting370542
https://www.security.nl/posting/369778#posting371820

Ten slotte,
loop zekerheidshalve EMET User's Guide "Table 7: Common Software Compatibility Matrix", pagina 40-42 na, en vergelijk de geadviseerde op de diverse applicaties toe te passen mitigations met de daadwerkelijk toegepaste mitigations zoals je die ziet onder EMET\ Apps\ Appication Configuration\ Mitigations.
Mochten bepaalde mitigations niet correct zijn toegepast zoals die worden aangegeven in tabel 7, dan kun je die zo nodig handmatig aanpassen.
(Bij mij ontbraken onder EMET 4.1 de SEHOP mitigations voor 7-Zip.)
(N.B. Let wel op de uitzonderingen die in tabel 7 zijn aangegeven met "(1)". De met "(1)" aangeduide SEHOP-mitigations voor Windows Media Player, Google Chrome en Google Talk zijn enkel van toepassing op Windows 7/Server 2008R2 en latere Windows versies, en niet op Windows XP/Server 2003 en Windows Vista/Server 2008.)

Veel succes.
25-11-2013, 01:27 door Anoniem
Als ik in Win8 of Win8.1 Deep Hooks aan vink, wil Internet Explorer niet meer opstarten.
Ook andere opstart programmas/services van Win8/8.1 lijken dan problemen te krijgen.

Deep Hooks weer uitzetten lijkt bij Win8/8.1 beter te zijn ??


Als je EMET opent zie je een lijst met running processes. Als je die lijst blauw blokt en dan de rechter muistoets inklikt, worden deze processen ook opgenomen in de bescherming. Bij deze opname wordt van sommige processen vermeld dat de opname niet kan (een error dus), de rest wordt toegevoegd aan de Apps-lijst.

Ik vraag mij wel af of deze handelswijze OK is ??

Verder dank voor uw uitleg, en ik hoop op uw reaktie.

Groeten
05-12-2013, 23:50 door Spiff has left the building
Opnieuw een late reactie van me.
Dit omdat reacties op deze thread niet opvallen als je de thread niet specifiek opzoekt. (Het e-mail notificatie systeem dat tot begin augustus 2013 bestond, dat bestaat niet meer.)
Daarom een flink verlate reactie.
Wie nog wat wil mededelen of vragen over EMET 4.1, die zou dat in het vervolg in een nieuwe forum-thread kunnen doen, of wellicht voorlopig in de EMET 4.0 forum-thread: https://www.security.nl/posting/41491/EMET+4_0+beschikbaar, gezien het feit dat EMET 4.1 nauwelijks verschilt van EMET 4.0.

Door Anoniem, 25-11-2013, 01:27 uur:
Als ik in Win8 of Win8.1 Deep Hooks aan vink, wil Internet Explorer niet meer opstarten.
Ook andere opstart programma's/services van Win8/8.1 lijken dan problemen te krijgen.
Deep Hooks weer uitzetten lijkt bij Win8/8.1 beter te zijn??
Daar lijkt het dan wel op, ja.
Wellicht staat om die reden Deep Hooks niet standaard aangevinkt.
Verder heb ik hier geen kennis over en kan ik er niets zinnigs over zeggen.

Door Anoniem, 25-11-2013, 01:27 uur:
Als je EMET opent zie je een lijst met running processes. Als je die lijst blauw blokt en dan de rechter muistoets inklikt, worden deze processen ook opgenomen in de bescherming. Bij deze opname wordt van sommige processen vermeld dat de opname niet kan (een error dus), de rest wordt toegevoegd aan de Apps-lijst.
Ik vraag mij wel af of deze handelswijze OK is??
Het is een mogelijkheid.
Ik heb die mogelijkheid niet genoemd, omdat ik voor de processen die niet zijn opgenomen in het Popular Software Protection Profile en in "Table 7: Common Software Compatibility Matrix" op pagina 40-42 van de EMET User's Guide niet weet welke mitigations er wel en niet zonder problemen op toegepast kunnen worden.
Je kunt dat voor 'niet opgenomen' processen/apps eventueel zelf uitproberen, maar ik kan je er niets zinnigs over zeggen. Nogmaals, dat is waarom ik niets over die mogelijkheid heb vermeld.

P.S.
Ik kopieer deze bijdrage tevens naar de https://www.security.nl/posting/41491/EMET+4_0+beschikbaar forum-thread.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.