image

Gratis Windows-tool is IE-hackers te slim af

dinsdag 28 mei 2013, 13:41 door Redactie, 9 reacties

Een gratis programma van Microsoft voor Windows-gebruikers blijkt zeer effectief te zijn in het stoppen van niet eerder waargenomen aanvallen. Het gaat om de Enhanced Mitigation Experience Toolkit (EMET), die applicaties van extra bescherming voorziet, waardoor het misbruik van onbekende lekken lastiger wordt. Dit is met name handig voor zogeheten zero-days.

Dit zijn aanvallen die misbruik van beveiligingslekken maken waarvoor nog geen beveiligingsupdate beschikbaar is. Onlangs werd er een zero-day in Internet Explorer 8 gevonden, die aanvallers actief gebruikten om bezoekers van bepaalde websites met malware te infecteren. Eenmaal geïnfecteerd werd er een backdoor geïnstalleerd en allerlei data gestolen.

Johannes Ullrich, CTO SANS Internet Storm Center (ISC), had in het verleden al aangekondigd dat EMET een effectieve maatregel tegen zero-day-aanvallen is, en kon dit nu in de praktijk toetsen. Ullrich gebruikte de exploit op een ongepatchte Windows XP-versie waar wel EMET op geïnstalleerd was.

Detectie
EMET beschikt over verschillende technieken om misbruik van kwetsbaarheden te detecteren Voor de eerste test met EMET waren alle beveiligingsmaatregelen ingeschakeld en werd de aanval snel opgemerkt en onschadelijk gemaakt. Vervolgens werden verschillende technieken uitgeschakeld, maar nog steeds wist EMET de aanval op te merken en te stoppen.

Ullrich voerde zijn test uit met EMET 3.5, aangezien hij hier destijds ook over opmerkte dat het Windows-gebruikers kon beschermen. Inmiddels is de bètaversie van EMET 4 uit.

Exploit
Die blijkt echter één specifieke aanvalsmethode genaamd 'no-spray' niet te detecteren, zoals ook al het geval bij EMET 3.5 was. In het geval van de test van Ullrich werd de exploit die van no-spray gebruik maakte gemist, maar de 'payload' wel opgemerkt, waardoor gebruikers nog steeds beschermd waren.

Toch vraagt de CTO van het ISC aan Microsoft om ook de no-spray-aanval te detecteren. Eerder bleek EMET ook een zero-day-lek in Adobe Reader, dat actief werd gebruikt, succesvol te stoppen.

Reacties (9)
28-05-2013, 13:53 door Spiff has left the building
Door Redactie:
Inmiddels is de bètaversie van EMET 4 uit.
Zoals eerder vermeld is de EMET 4.0 final gepland voor vandaag, 28 mei.
https://www.security.nl/artikel/46187/1/Beveiligingslek_vertraagt_nieuwe_Microsoft_security-tool.html
http://blogs.technet.com/b/srd/archive/2013/05/08/emet-4-0-s-certificate-trust-feature.aspx

Wellicht vanavond 19.00 uur Nederlandse tijd?
(Dezelfde tijd dat Microsoft normaal op de tweede dinsdag van de maand updates uitbrengt.)
28-05-2013, 14:39 door lucb1e
Waarom wordt Windows niet standaard met EMET geleverd als het zo goed lijkt te zijn? En op z'n minst dingen als Internet Explorer en de smb server en dergelijke erin stoppen, of mogelijk gewoon alles (met opt-out).
28-05-2013, 16:03 door potshot
hmm..hier branden ze hiet niet eens af wat de beste stuurlui aan wal anders wel doen..
28-05-2013, 16:08 door Spiff has left the building
Door potshot:
hmm..hier branden ze hiet niet eens af wat de beste stuurlui aan wal anders wel doen..
Wat bedoel je daarmee precies, Potshot?
Ik heb geen idee wat je bedoelt.
28-05-2013, 16:28 door Anoniem
Zal 4 geschikt zijn voor Windows 8? 3.5 was dit niet dacht ik?!?
28-05-2013, 17:50 door Spiff has left the building
Door Anoniem, 16:28 uur:
Zal 4 geschikt zijn voor Windows 8? 3.5 was dit niet dacht ik?!?
EMET 4.0 bèta was al geschikt voor Windows 8,
zie System Requirements
http://www.microsoft.com/en-us/download/details.aspx?id=38761
dus voor de EMET 4.0 final zal dat ook gelden, valt aan te nemen.
29-05-2013, 00:11 door Spiff has left the building
Door Spiff:
Zoals eerder vermeld is de EMET 4.0 final gepland voor vandaag, 28 mei.
Wellicht vanavond 19.00 uur Nederlandse tijd?
Nee, nog niet te vinden.
Misschien vannacht nog, of vandaag/morgen 29 mei?
("Vol verwachting klopt ons hart" etc., etc.)
29-05-2013, 05:01 door Spiff has left the building
Door Spiff:
Zoals eerder vermeld was de EMET 4.0 final gepland voor 28 mei.
Echter,
http://blogs.technet.com/b/srd/archive/2013/05/28/a-few-more-days-before-emet-4.aspx

A few more days before EMET 4
We are not releasing EMET 4 today, we will take a few more days to have everything prepared for the final release.
We don’t want to give a new release date yet, but expect to see EMET 4 in the next few days.
02-06-2013, 01:03 door Spiff has left the building
Ik hoopte nog op een toelichting van potshot op zijn/haar reactie van di.28-5, 16:03 uur, zoals ik dat daarna om 16:08 al vroeg. Echter, er volgde tot op heden geen enkele toelichting van potshot.
Nomen est omen, blijkbaar?
http://www.merriam-webster.com/dictionary/potshot
Nou, dan maar een negatieve rating voor die reactie van potshot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.