Microsoft beveiligt Windows met gratis EMET 4.0
Een maand later dan gepland heeft Microsoft de uiteindelijke versie van EMET 4.0 gelanceerd, een gratis tool die Windows-gebruikers tegen hackers en exploits moet beschermen. EMET staat voor Enhanced Mitigation Experience Toolkit en zorgt ervoor dat verschillende technieken waarmee beveiligingslekken worden misbruikt niet meer werken.
Windows beschikt zelf over verschillende verdedigingsmaatregelen zoals Dynamic Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR). Veel programma's van derden maken hier geen gebruik van, waardoor het eenvoudiger wordt voor een aanvaller om een kwetsbaarheid te misbruiken.
Bescherming
Daarnaast voegt EMET ook verschillende nieuwe beveiligingsmaatregelen toe die nog niet standaard in Windows actief zijn. Hierdoor zouden computers tegen zero-day-aanvallen beschermd zijn en tegen exploits die misbruik maken van lekken waarvoor de gebruiker een beschikbare update niet heeft geïnstalleerd.
EMET 4.0 bevat een aantal grote verbeteringen. Zo is de tool in staat om aanvallen te detecteren waarbij verdachte SSL/TLS certificaten worden gebruikt. Daarbij is het mogelijk om SSL-certificaten te 'pinnen', zodat bijvoorbeeld man-in-the-middle-aanvallen via vervalste certificaten kunnen worden herkend.
verschillende certificaten worden door EMET standaard ondersteund, zoals die van Microsoft zelf, Twitter, Facebook en Yahoo. Daarnaast is de beveiliging aangescherpt, waardoor bepaalde manieren waardoor hackers en onderzoekers de beveiliging van EMET 3.5 konden omzeilen niet meer werken. Verder zijn nu meer applicaties compatibel met EMET.
Gebruikersinterface
Microsoft heeft ook de gebruikersinterface onderhanden genomen. "De oude grafische gebruikersinterface was niet zo effectief en gebruiksvriendelijk", zegt Jonathan Ness van het EMET Team. Een andere maatregel om de gratis security-tool toegankelijk te maken is een configuratiewizard, die gebruikers bij de eerste stappen helpt.
Met dank aan Erik voor de tip
1.
Voor wie zich afvraagt of een eerdere EMET-versie gedeïnstalleerd moet worden voorafgaand aan het installeren van EMET 4.0, het antwoord is: EMET 3.0 niet, maar EMET 3.5 Tech Preview en EMET 4.0 Beta wel.
Zie:
If you have EMET 4.0 Beta or EMET 3.5 Technical Preview installed on the system, you will need to uninstall them before installing EMET 4.0, and you will need to remove EMET’s configuration from the registry, by deleting the registry hives HKLM\Software\Microsoft\EMET and, if existing, HKLM\Software\Policies\Microsoft\EMET. If you have EMET 3.0 installed on the system, you don’t need to uninstall it before installing EMET 4.0. The previous version will be uninstalled and at the end of the installation you’ll have the opportunity to migrate the existing settings or to reset EMET configuration with the new default settings.
2.
Een aandachtspunt:
Let op dat in EMET 4.0\ Apps\ Application Configuration\ Deep Hooks is aangevinkt.
Op mijn systeem bleek dat na de standaardconfiguratie niet het geval.
Deep Hooks is simpel genoeg alsnog aan te vinken, maar het zou zonde zijn wanneer dat niet uitgevoerd werd.
EMET 4.0 User Guide over Deep Hooks (pagina 13):
1.2.9 Advanced Mitigations
EMET 4.0 introduces additional mitigation options that apply to all configured software. The additional mitigations introduced for this version are only for the ROP mitigations, and when enabled or disabled they will affect all the programs that have at least one ROP mitigation configured in EMET.
[...]
Deep hooks: EMET will protect critical APIs and the subsequent lower level APIs used by the top level critical API. For example, EMET will not only hook and protect kernel32!VirtualAlloc but also the related lower level functions, such as kernelbase!VirtualAlloc and ntdll!NtAllocateVirtualMemory.
Kunnen ze emet dan niet standaard in Windows inbouwen?
Zou wat handiger zijn.
Kunnen - vast wel.
Maar er zullen wellicht redenen zijn om dat niet te doen.
1. EMET was/is te moeilijk voor een deel van de Windows-gebruikers, met potentie om er problemen mee te creëren.
2. EMET is een aanvulling met technieken die nog niet toegepast werden bij de uitgave van de opeenvolgende Windows-versies, en daardoor per definitie niet beschikbaar om die al gelijk te integreren in Windows. Wel zou het naderhand integreren door middel van updates misschien mogelijk kunnen zijn. Een mogelijke reden om dat desondanks niet te doen is dat EMET een 'proeftuin' van nieuwe technieken bevat, waarvoor geldt wat ik onder punt 1 vermeldde: 'moeilijk' en met potentie om er problemen mee te creëren.
Ik kan me voorstellen dat dat argumenten zouden kunnen zijn om EMET niet te integreren in Windows, al zullen er ook andere redenen kunnen bestaan.
En nu is het afwachten wanneer EMET gekraakt wordt.
EMET dekt daarmee heel veel af, maar in de loop der tijd worden (uiteraard) nieuwe aanvalstechnieken ontwikkeld waartegen de bestaande of eerdere EMET mitigations potentieel nog onvoldoende bescherming bieden. De kunst is om dit zo veel mogelijk al vóór te zijn door EMET te blijven ontwikkelen en nieuwe technieken aan EMET toe te voegen.
Dit spel was ook het afgelopen jaar aan de gang. EMET 3.0 bood nog bescherming, maar er werden op een gegeven moment al enkele aanvalstechnieken ontdekt die EMET 3.0 konden passeren. EMET 3.5 Tech Preview, dat dateerde van enkele maanden na EMET 3.0, dat bleek echter nog niet te passeren, en hetzelfde geldt nog voor EMET 4.0.
De huidige EMET 4.0 is dan ook niet slechts EMET 3.0 of 2.0 in een nieuw jasje, maar biedt een pakket aan technieken dat veel verder gaat dan dat van eerdere EMET versies, en dat momenteel nog veel toegevoegde bescherming biedt. Op een gegeven moment zullen er echter weer aanvalstechnieken ontwikkeld worden waartegen de huidige EMET mitigations op dat moment onvoldoende bescherming meer bieden, en dan moet een EMET 4.5 of EMET 5.0 het overnemen.
Hebben ze dat probleem met de google browser dan opgelost? Want als je die gebruikte icm emet 4.0 Beta kreeg je geen pagina te zien.
Mogelijk weet iemand anders het, of je kunt het zelf uitproberen.
Maar de EMET 4.0 User Guide geeft Google Chrome aan als compatible, met een uitzondering voor de EMET 4.0 SEHOP mitigation voor Chrome onder Windows XP/Server 2003 en Windows Vista/Server 2008.
De EMET 4.0 SEHOP mitigation implementatie betreffende Google Chrome is enkel geschikt voor Windows 7/Server 2008R2 en latere versies.
Alle ándere EMET mitigations voor Chrome buiten SEHOP zijn volgens de EMET 4.0 User Guide geschikt voor álle Windows versies vanaf XP.
Hebben ze dat probleem met de google browser dan opgelost?
Je moet dan Sehop uitvinken in Emet.
En inderdaad, de SEHOP mitigation niet aanvinken voor Chrome is nodig voor Windows XP/Server 2003 en Windows Vista/Server 2008.
Voor Windows 7/Server 2008R2 en latere versies zou de SEHOP mitigation wel compatible zijn met Chrome, althans, volgens de EMET 4.0 User Guide.
Ik vraag me alleen af, zijn nu alle fouten uit 4.0?
Dat EMET 4.0 final geïnstalleerd kan worden met een automatische configuratie, dat helpt, en maakt het beter geschikt voor minder gevorderde gebruikers.
Het omvat meer software dan het bij de standaard-configuratie geïnstalleerde profiel "Recommended Software".
Het importeren van "Popular Software" kan wel degelijk nuttig zijn. Het neemt je de taak uit handen zelf die in dat profiel opgenomen software een voor een te moeten toevoegen via Apps\ Application Configuration.
En nou de belangrijkste vraag: komt Emet 4 tot ons via de Windows update en zo ja,wanneer kunnen we deze verwachten?
Maar of EMET 4.0 dan automatisch als update wordt aangeboden voor EMET 3.0 gebruikers?
Ik heb er nergens wat over vermeld gezien, ik vermoed daarom van niet.
EMET is een verzameling van 'tools' die al in (latere) Windows versies standaard aanwezig zijn, maar niet noodzakelijkerwijs ingeschakeld zijn. Kort gezegd is EMET zelf geen beveiliging, maar meer een extra configuratiescherm.
Fouten in EMET zijn dus niet echt waarschijnlijk, en ook niet echt van groot belang voor de veiligheid. Daarnaast krijgt EMET nooit kleine updates of nieuwe definities zoals een AV, enkel geheel nieuwe versies.
Het grote nut van EMET is dat fouten in andere software (OS, browser, Office, Java, Office, VLC, 7Zip noem maar op) niet meer zo eenvoudig kunnen worden misbruikt door malware en (0-day) exploits.
De nadelen van EMET zijn dat sommige software niet helemaal correct, -of zelfs helemaal niet- werkt zonder EMET verder in te stellen voor de betreffende applicatie & dat de instellingen van EMET net wat ingewikkelder zijn dan de gemiddelde App-Note-Muis...
Als je toch al gewend bent om met EMET 3.0 te werken lijkt 4.0 me alleen maar makkelijker en dus zeker aan te raden. Voor eindgebruikers die niet veel meer willen dan even Tw#t-Face-Boeken, is EMET wellicht wat te hoog gegrepen...
Zet ik SEHOP uit dan werkt het als een zonnetje.
XP 32 bit heeft dit probleem volgens mij niet met IE 8 en Firefox 22.
Ik vind het wel vervelend dat .NET Framework 4.0 nodig is. Dat is nogal een flinke installatie met alle updates er achteraan. Zat er standaard met mijn Windows 7 bakkies niet op.
Ik heb wel gemerkt dat als je de installatie standaard uitvoert ik op mijn Windows 7 64 bit met IE 10 en Firefox 22 SEHOP uit moest zetten anders crachen ze beiden.
of bedoel je onder EMET\ Apps\ Application Configuration\ Mitigations -- het uitschakelen van de SEHOP mitigation voor IE en Firefox?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
