De recente zero-day-aanvallen op onbekende beveiligingslekken in Adobe Flash Player en Adobe Reader zouden niet zijn gestopt door Microsoft's gratis Enhanced Mitigation Experience Toolkit (EMET). EMET biedt gebruikers extra bescherming door beveiligingsmaatregelen in te schakelen die in Windows aanwezig zijn, maar bepaalde programma's niet gebruiken.
Het zou daardoor in theorie ook onbekende aanvallen kunnen stoppen, zoals in het geval van een zero-day. Het gaat hier om kwetsbaarheden waarvoor nog geen update beschikbaar is. Door de beveiliging van EMET wordt het in theorie lastiger voor aanvallers om beveiligingslekken uit te buiten.
Ontwikkeling
Deze week riep Microsoft Windows-gebruikers wederom op om EMET te gebruiken. Ook werd de zakelijke ondersteuning van het programma aangekondigd, waardoor het aantrekkelijker voor bedrijven wordt om uit te rollen. De laatste officiële versie die Microsoft aanbiedt en bij bedrijven ondersteunt is EMET 3.0.
EMET 3.0 biedt geen bescherming tegen return-oriented programming (ROP) exploits. Via ROP kunnen aanvallers beveiligingsmaatregelen als Data Execution Prevention (DEP) omzeilen om toch kwaadaardige code op het systeem uit te voeren. Deze nieuwe zero-day-aanvallen zouden ROP toepassen om systemen over te nemen.
Deze bescherming is wel in EMET 3.5 aanwezig, maar hier is alleen een bètaversie van beschikbaar. Tijdens de webcast over de Windows-updates van februari krijgt Microsoft's Dustin Childs de opmerking dat EMET 3.0 de zero-day-aanvallen tegen Flash en Adobe Reader niet stopt.
Childs ontkracht dit niet en laat weten dat Microsoft de laatste hand aan de uiteindelijke EMET 3.5 versie legt. Wanneer die echter verschijnt is nog altijd onbekend. Het gebruik van EMET wordt in dit Security.NL stappenplan uitgelegd.
Update 10:45
Microsoft laat via Twitter weten dat EMET 3.0 de zero-day-aanval tegen Adobe Reader wél stopt via de ' EAF shellcode detection' van de tool.
Deze posting is gelocked. Reageren is niet meer mogelijk.