image

Nieuwe zero-day-aanvallen omzeilen Microsoft EMET *update*

vrijdag 15 februari 2013, 10:27 door Redactie, 10 reacties

De recente zero-day-aanvallen op onbekende beveiligingslekken in Adobe Flash Player en Adobe Reader zouden niet zijn gestopt door Microsoft's gratis Enhanced Mitigation Experience Toolkit (EMET). EMET biedt gebruikers extra bescherming door beveiligingsmaatregelen in te schakelen die in Windows aanwezig zijn, maar bepaalde programma's niet gebruiken.

Het zou daardoor in theorie ook onbekende aanvallen kunnen stoppen, zoals in het geval van een zero-day. Het gaat hier om kwetsbaarheden waarvoor nog geen update beschikbaar is. Door de beveiliging van EMET wordt het in theorie lastiger voor aanvallers om beveiligingslekken uit te buiten.

Ontwikkeling
Deze week riep Microsoft Windows-gebruikers wederom op om EMET te gebruiken. Ook werd de zakelijke ondersteuning van het programma aangekondigd, waardoor het aantrekkelijker voor bedrijven wordt om uit te rollen. De laatste officiële versie die Microsoft aanbiedt en bij bedrijven ondersteunt is EMET 3.0.

EMET 3.0 biedt geen bescherming tegen return-oriented programming (ROP) exploits. Via ROP kunnen aanvallers beveiligingsmaatregelen als Data Execution Prevention (DEP) omzeilen om toch kwaadaardige code op het systeem uit te voeren. Deze nieuwe zero-day-aanvallen zouden ROP toepassen om systemen over te nemen.

Deze bescherming is wel in EMET 3.5 aanwezig, maar hier is alleen een bètaversie van beschikbaar. Tijdens de webcast over de Windows-updates van februari krijgt Microsoft's Dustin Childs de opmerking dat EMET 3.0 de zero-day-aanvallen tegen Flash en Adobe Reader niet stopt.

Childs ontkracht dit niet en laat weten dat Microsoft de laatste hand aan de uiteindelijke EMET 3.5 versie legt. Wanneer die echter verschijnt is nog altijd onbekend. Het gebruik van EMET wordt in dit Security.NL stappenplan uitgelegd.

Update 10:45
Microsoft laat via Twitter weten dat EMET 3.0 de zero-day-aanval tegen Adobe Reader wél stopt via de ' EAF shellcode detection' van de tool.

Reacties (10)
15-02-2013, 11:01 door [Account Verwijderd]
[Verwijderd]
15-02-2013, 11:26 door Mysterio
Door Peter V: Vooral als je de system requirements bekijkt wordt het leuk: EMET 3.0 gaat maar tot en met Windows-7.

Geen EMET 3.0 voor Windows-8 gebruikers.
Wellicht dat niet alles up-to-date is, maar het werkt heus echt wel: http://blogs.msdn.com/b/ie/archive/2012/03/12/enhanced-memory-protections-in-ie10.aspx
15-02-2013, 12:59 door [Account Verwijderd]
[Verwijderd]
15-02-2013, 14:26 door Spiff has left the building
Door Peter V:
Vooral als je de system requirements bekijkt wordt het leuk: EMET 3.0 gaat maar tot en met Windows-7.
Geen EMET 3.0 voor Windows-8 gebruikers.
Door Mysterio:
Wellicht dat niet alles up-to-date is, maar het werkt heus echt wel:
http://blogs.msdn.com/b/ie/archive/2012/03/12/enhanced-memory-protections-in-ie10.aspx
Hmm, dat gelinkte artikel gaat niet over compatibiliteit van EMET met Windows 8, maar over "Enhanced Memory Protections in IE10", en dat is niet hetzelfde als EMET met IE10 of EMET met Windows 8.
Daarnaast is het een artikel uit maart 2012, ten tijde van de previews van IE10, lang voor het uitkomen van de definitieve Windows 8.
Het zegt daarom mijns inziens weinig of niks over de compatibiliteit van EMET met Windows 8.

Hetzelfde geldt voor een ander artikel, waarin vermeld werd "we have tested EMET 3.0 on the Windows 8 Consumer Preview and it works great". Ja, mei 2012, met de Windows 8 Consumer Preview.
http://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx

En dat in de informatie over EMET, informatie waarbij vermeld wordt "Last Review: February 12, 2013", nog steeds Windows 8 niet vermeld wordt onder "Applies to", dat geeft te denken, vind ik.
http://support.microsoft.com/kb/2458544/en

En buiten dat, wanneer ik zoek met zoektermen site:microsoft.com "emet" "windows 8", vind ik niets dat weergeeft dat EMET werkelijk geschikt is voor gebruik onder Windows 8.
Het zál vast wel compatible zijn, maar ik vínd echter nergens zo'n vermelding, en dat is vreemd.

Ik had de bijdrage van Mysterio een paar uur geleden een +1 rating gegeven, maar die neem ik wegens mijn huidige twijfels graag terug. (Wil iemand die +1 rating even voor me terugzetten naar +0?) (Update Dat is inmiddels gedaan, zie ik, dankjewel.)
15-02-2013, 14:39 door Spiff has left the building
Door Kourtisanne Xbox-driver:
no EMET.
Um.. wat bedoel je precies?

En ik zag dat je in eerste instantie wat anders schreef, opmerkingen die ik interessant vond, en waarvan ik niet weet waarom je die hebt teruggenomen.
Omdat je die tekst hebt verwijderd zal ik die niet citeren, maar een van de elementen die je aangaf was dat je zeker wilt weten dat EMET geschikt is voor gebruik met Windows 8.
Dat was een uitstekende en volkomen gerechtvaardigde opmerking. Het is vanzelfsprekend dat je op je schone systeem niet iets wilt installeren waarvan je niet weet of het potentieel tot problemen kan leiden.
Héél merkwaardig dat Microsoft vooralsnog zwijgt over EMET met Windows 8.
15-02-2013, 17:42 door Anoniem
Denk dat EMET standaard in Windows 8 zit.
15-02-2013, 22:35 door Anoniem
Door Spiff:
Door Peter V:
Vooral als je de system requirements bekijkt wordt het leuk: EMET 3.0 gaat maar tot en met Windows-7.
Geen EMET 3.0 voor Windows-8 gebruikers.
Door Mysterio:
Wellicht dat niet alles up-to-date is, maar het werkt heus echt wel:
http://blogs.msdn.com/b/ie/archive/2012/03/12/enhanced-memory-protections-in-ie10.aspx
Hmm, dat gelinkte artikel gaat niet over compatibiliteit van EMET met Windows 8, maar over "Enhanced Memory Protections in IE10", en dat is niet hetzelfde als EMET met IE10 of EMET met Windows 8.
Daarnaast is het een artikel uit maart 2012, ten tijde van de previews van IE10, lang voor het uitkomen van de definitieve Windows 8.
Het zegt daarom mijns inziens weinig of niks over de compatibiliteit van EMET met Windows 8.

Hetzelfde geldt voor een ander artikel, waarin vermeld werd "we have tested EMET 3.0 on the Windows 8 Consumer Preview and it works great". Ja, mei 2012, met de Windows 8 Consumer Preview.
http://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx

En dat in de informatie over EMET, informatie waarbij vermeld wordt "Last Review: February 12, 2013", nog steeds Windows 8 niet vermeld wordt onder "Applies to", dat geeft te denken, vind ik.
http://support.microsoft.com/kb/2458544/en

En buiten dat, wanneer ik zoek met zoektermen site:microsoft.com "emet" "windows 8", vind ik niets dat weergeeft dat EMET werkelijk geschikt is voor gebruik onder Windows 8.
Het zál vast wel compatible zijn, maar ik vínd echter nergens zo'n vermelding, en dat is vreemd.

Ik had de bijdrage van Mysterio een paar uur geleden een +1 rating gegeven, maar die neem ik wegens mijn huidige twijfels graag terug. (Wil iemand dat even voor me doen?)



EMET Zelf getest in VirtualBox - Windows 8,
Werkt wel, maar kan soms crashes veroorzaken.

Binnenkort komt EMET 3.5, ondersteunt ook Windows 8 + Server 2012 & Uitgebreide bescherming die exploits zoals deze moeten voorkomen.
16-02-2013, 17:07 door Spiff has left the building
Door Anoniem, gisteren, 22:35 uur:
Binnenkort komt EMET 3.5, ondersteunt ook Windows 8 + Server 2012
Uiteraard komt na de huidige EMET 3.0 en EMET 3.5 Tech Prieview op een gegeven moment de definitieve EMET 3.5 uit.
En ja, bij de definitieve EMET 3.5 zal vast wel ook Windows 8 en Server 2012 vermeld worden als ondersteunde Windows-versies.
Maar op dit moment vind ik nog geen enkele Microsoft.com-bron die weergeeft dat EMET 3.0 en/of EMET 3.5 Tech Prieview nu al werkelijk geschikt zou zijn voor gebruik onder Windows 8. En dat was wat Peter V aanstipte en waar ik het over had.
16-02-2013, 22:55 door Spiff has left the building
Door Anoniem, vr.15-2, 17:42 uur:
Denk dat EMET standaard in Windows 8 zit.
Hoe bedoel je dat?
Als standaard geïnstalleerd programma/ onderdeel van Windows 8?
Of alle mogelijkheden van EMET reeds toegepast op/ ingeschakeld in Windows 8?
Waarop baseer je zoiets?
Ik ken geen enkele bron die zoiets meldt.
En overigens, EMET heeft niet alleen de mogelijkheid om mitigations (extra bescherming) toe te passen op Windows onderdelen en andere Microsoft programma's, maar ook om mitigations toe te passen op andere geïnstalleerde programma's. Het zou zeer merkwaardig zijn wanneer dat standaard al toegepast zou zijn.

Dus nogmaals, wat bedoel je, en op wat baseer je dat?
18-02-2013, 09:40 door Mysterio
Door Spiff: Daarnaast is het een artikel uit maart 2012
Whoops... goed punt. Bij nader inzien is Microsoft nogal vaag oven EMET en Windows 8. Zou inmiddels goed moeten werken met IE 10, maar wat het op het totaal van Windows 8 doet is nogal speculatief. Over het algemeen zijn gebruikers er tevreden over.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.