Microsoft beschermt Windows tegen Java- en Flash-aanvallen
Microsoft heeft een nieuwe versie van de gratis EMET-beveiligingstool uitgebracht die Windowsgebruikers nu ook specifiek tegen Java- en Flash-aanvallen kan beschermen. De Enhanced Mitigation Experience Toolkit (EMET) voegt allerlei beveiligingsmaatregelen aan Windows toe.
Deze maatregelen zijn bedoeld om het misbruik van beveiligingslekken in Windows en andere applicaties lastiger te maken. Het gaat dan zowel om bekende als onbekende beveiligingslekken. Veel van de lekken waardoor Windowsgebruikers worden aangevallen bevinden zich in browserplug-ins, zoals Java en Adobe Flash Player.
Plug-ins
In de nieuwste versie van Microsoft heeft EMET daarom twee nieuwe features toegevoegd genaamd Attack Surface Reduction (ASR) en Export Address Table Filtering Plus (EAF+). Via ASR is het mogelijk om aanvallen op third-party en zelfgemaakte applicaties te voorkomen door selectief Java, Adobe Flash Player en Microsoft of andere third-party plug-ins in of uit te schakelen.
Gebruikers van EMET kunnen bijvoorbeeld voorkomen dat de Adobe Flash Player plug-in in Microsoft Word wordt geladen. Ook is het mogelijk om te voorkomen dat de Java plug-in in de Internet Zone wordt geladen, maar wel in de Intranet Zone van Internet Explorer wordt toegestaan.
EAF+
De tweede nieuwe feature in EMET is een verbetering van Export Address Table Filtering (EAF) genaamd EAF+. Deze maatregel voorkomt verschillende exploittechnieken en voegt extra bescherming aan de bestaande EAF-controle toe. Daarnaast zijn verschillende kwetsbaarheden in de nieuwe versie van EMET verholpen die deze week aan het licht kwamen. De versie van EMET 5.0 die via Microsoft.com gedownload kan worden is nog een previewversie.
Microsoft beschermt Windows tegen Java- en Flash-aanvallen
Via ASR is het mogelijk om aanvallen op third-party en zelfgemaakte applicaties te voorkomen door selectief Java, Adobe Flash Player en Microsoft of andere third-party plug-ins in of uit te schakelen.
Zie de EMET 5.0 Tech Preview User Guide:
NOTE: The list of blocked modules for ASR and the zones with exceptions (where the modules are allowed to be loaded) should be manually defined by the user in the following registry key per-application:
HKLM\SOFTWARE\Microsoft\EMET\_settings_\{CLSID}\asr_modules = "…"
HKLM\SOFTWARE\Microsoft\EMET\_settings_\{CLSID}\asr_zones = "…"
Anders dan ik eerder meende te begrijpen, is in EMET 5.0 Tech Preview ASR toch wel degelijk standaard al toegepast op een drietal applicaties.
Namelijk:
iexplore.exe - geblokkeerde modules: npjpi*.dll, jp2iexp.dll, vgx.dll, flash*.ocx
winword.exe - geblokkeerde module: flash*.ocx
excel.exe - geblokkeerde module: flash*.ocx
N.B.
Dat betekent voor Internet Explorer dat daarin Java, Microsoft vector graphics rendering en Flash worden geblokkeerd.
Wie Java, vector graphics rendering, en/of Flash wenst te kunnen gebruiker onder IE, die zal de toepassing van ASR op IE moeten uitschakelen, óf een aanpassing in het register moeten maken om de betreffende specifieke blokkade of blokkades uit te schakelen.
Einde correctie en aanvulling 3-3.
De tweede nieuwe feature in EMET is een verbetering van Export Address Table Filtering (EAF) genaamd EAF+.
EMET\ Apps\ Mitigation Settings\ aanvinken: EAF+
EAF+ can be enabled through the “Mitigation Settings” ribbon.
Anders dan ik eerder meende te begrijpen, is in EMET 5.0 Tech Preview EAF+ standaard al toegepast, zie ik.
Einde correctie en aanvulling 3-3.
En ook nog interessant:
Anders dan in EMET 4.1 is in EMET 5.0 Tech Preview de "Deep Hooks" mitigation setting nu standaard ingeschakeld.
Of dit ook in de EMET 5.0 final release het geval zal zijn, dat hangt af van de ervaringen met deze instelling in EMET 5.0 Tech Preview. Zie:
This Technical Preview enables the “Deep Hooks” mitigation setting. We have been working with third-party software vendors whose products do not run properly with Deep Hooks enabled. We believe these vendors have resolved the application compatibility issues that previously existed with Deep Hooks enabled. We enable Deep Hooks in the Technical Preview to evaluate the possibility of having this setting turned on by default in the final EMET 5.0 release because it has proven to be effective against certain advanced exploits using ROP gadgets with lower level APIs.
Maar wat is nu de nieuwe versie waar het artikel melding van maakt?
4.1 bestond al, het is niet 5.0, welke wel
en voor de geïnteresseerden waar?
Het artikel van de redactie vermeldt dat het EMET 5.0 betreft.
Het artikel van de redactie vermeldt tevens dat het een preview-versie betreft,
dus nog niet de final release, maar een test-versie, een bèta-versie.
Ook linkt het artikel van de redactie naar een pagina met informatie:
http://blogs.technet.com/b/srd/archive/2014/02/21/announcing-emet-5-0-technical-preview.aspx
En ook linkt het artikel van de redactie naar de EMET 5.0 Tech Preview download-pagina
http://www.microsoft.com/en-us/download/details.aspx?id=41963
waar je via Download het EMET 5.0 Tech Preview installatiebestand kunt downloaden (EMET Setup.msi)
en/of los daarvan ook de EMET 5.0 Tech Preview User's Guide.
Ik vind het geen probleem om dat allemaal nog eens te vermelden,
maar ook het artikel van de redactie bood die informatie.
Overweeg een Laptop te kopen, en afgezien van het prijsverschil. Is een Apple vanwege al dit, niet een beter keuze ? Zelf vind ik Windows 8/8.1 wel wat hebben, maar is die veiliger als een Apple, diegene die ik ken, hebben er zeggen ze....helemaal niks aan bescherming op. Nu zal ik de Apple fans wel wakker maken, maar ik ben een Windows fan, alleen door al dit gedoe Pfffff
Van Spiff las ik, dat je ook iets in je register moet doen
Ook EMET 4.1 en eerder bieden en boden al verschillende geavanceerde opties die je zelf moet configureren.
Maar ook zónder het gebruiken van de geavanceerde opties die je zelf moet configureren biedt EMET al veel bescherming, en EMET 5.0 weer wat meer dan 4.1.
Dat is veel effectiever want al die exploits proberen toch zo snel mogelijk de controle over te dragen naar een stuk
gedownloade software. Het is al mogelijk om uitvoeren van gedownloade software te blokkeren met een policy maar
voor veel gebruikers (en beheerders) is dat te moeilijk. Dus als EMET dat nou eens ging managen?
Blijf me dat toch telkens maar afvragen.
ASR is een optie die door de gebruiker handmatig in het Windows register moet worden ingesteld.
Namelijk:
iexplore.exe - geblokkeerde modules: npjpi*.dll, jp2iexp.dll, vgx.dll, flash*.ocx
winword.exe - geblokkeerde module: flash*.ocx
excel.exe - geblokkeerde module: flash*.ocx
N.B.
Dat betekent voor Internet Explorer dat daarin Java, Microsoft vector graphics rendering en Flash worden geblokkeerd.
Wie Java, vector graphics rendering, en/of Flash wenst te kunnen gebruiker onder IE, die zal de toepassing van ASR op IE moeten uitschakelen, óf een aanpassing in het register moeten maken om de betreffende specifieke blokkade of blokkades uit te schakelen.
EAF+ is niet standaard toegepast, maar kan worden toegepast via:
EMET\ Apps\ Mitigation Settings\ aanvinken: EAF+
Mijn conclusie:
EMET 5.0 Tech Preview is werkelijk nog érg bèta.
Zie mijn forum-post:
https://www.security.nl/posting/380416/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
