Een gratis programma van Microsoft voor Windows-gebruikers blijkt zeer effectief te zijn in het stoppen van niet eerder waargenomen aanvallen. Het gaat om de Enhanced Mitigation Experience Toolkit (EMET), die applicaties van extra bescherming voorziet, waardoor het misbruik van onbekende lekken lastiger wordt. Dit is met name handig voor zogeheten zero-days.
Dit zijn aanvallen die misbruik van beveiligingslekken maken waarvoor nog geen beveiligingsupdate beschikbaar is. Onlangs werd er een zero-day in Internet Explorer 8 gevonden, die aanvallers actief gebruikten om bezoekers van bepaalde websites met malware te infecteren. Eenmaal geïnfecteerd werd er een backdoor geïnstalleerd en allerlei data gestolen.
Johannes Ullrich, CTO SANS Internet Storm Center (ISC), had in het verleden al aangekondigd dat EMET een effectieve maatregel tegen zero-day-aanvallen is, en kon dit nu in de praktijk toetsen. Ullrich gebruikte de exploit op een ongepatchte Windows XP-versie waar wel EMET op geïnstalleerd was.
Detectie
EMET beschikt over verschillende technieken om misbruik van kwetsbaarheden te detecteren Voor de eerste test met EMET waren alle beveiligingsmaatregelen ingeschakeld en werd de aanval snel opgemerkt en onschadelijk gemaakt. Vervolgens werden verschillende technieken uitgeschakeld, maar nog steeds wist EMET de aanval op te merken en te stoppen.
Ullrich voerde zijn test uit met EMET 3.5, aangezien hij hier destijds ook over opmerkte dat het Windows-gebruikers kon beschermen. Inmiddels is de bètaversie van EMET 4 uit.
Exploit
Die blijkt echter één specifieke aanvalsmethode genaamd 'no-spray' niet te detecteren, zoals ook al het geval bij EMET 3.5 was. In het geval van de test van Ullrich werd de exploit die van no-spray gebruik maakte gemist, maar de 'payload' wel opgemerkt, waardoor gebruikers nog steeds beschermd waren.
Toch vraagt de CTO van het ISC aan Microsoft om ook de no-spray-aanval te detecteren. Eerder bleek EMET ook een zero-day-lek in Adobe Reader, dat actief werd gebruikt, succesvol te stoppen.
Deze posting is gelocked. Reageren is niet meer mogelijk.