image

Microsoft verscherpt beveiliging Windows met EMET 5.2

vrijdag 13 maart 2015, 10:33 door Redactie, 16 reacties

Microsoft heeft een nieuwe versie van de gratis beveiligingstool EMET uitgebracht, die het lastiger voor aanvallers moet maken om Windowscomputers via zowel onbekende als bekende lekken aan te vallen. EMET staat voor Enhanced Mitigation Experience Toolkit en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe, waardoor in veel gevallen exploits voor softwarelekken niet meer werken.

EMET 5.2 bevat verschillende aanpassingen en verbeteringen. Zo ondersteunt EMET nu waarschuwingen en rapportages van Modern Internet Explorer en Desktop IE met Enhanced Protected Mode. Verder is er een maatregel toegevoegd die aanvallen via VBScript moet voorkomen. Het gaat dan om een aanvalstechniek genaamd "VBScript God Mode", die bij recente aanvallen door aanvallers werd toegepast. Hierdoor kan een aanvaller kwaadaardige script met verhoogde rechten uitvoeren.

Daarnaast zijn de DLL-bestanden van EMET nu met Control Flow Guard gecompileerd. Dit is een nieuwe feature die het kapen van code moet voorkomen. In het verleden hebben onderzoekers verschillende keren aangetoond dat EMET omzeild kan worden. In de praktijk blijkt echter dat aanvallers op een andere manier rekening met EMET houden. Zo werd vorig jaar nog een zero day-aanval op IE10 ontdekt. De aanvallers besloten de exploit echter niet uit te voeren op computers waarop EMET was geïnstalleerd, waarschijnlijk om detectie van de exploit te voorkomen. EMET 5.2 is via deze pagina (msi) te downloaden.

Image

Reacties (16)
13-03-2015, 12:42 door Anoniem
Jammer, IE crashed onmiddellijk.
13-03-2015, 13:34 door Anoniem
het is allemaal leuk die. EMET
maar na jaren van EMET woord er nog geen woord gerept ?
of het compatibel is met je antivirus ( betaal vers)
laat staan dat ik het gebruikt?
de groeten van een opa 64 jaar . die is wel up to date
en een leuke side security.nl je kan er altijd nog wat van leren.
ook na mijn computer kennis.
13-03-2015, 14:17 door dmstork
Ja, bij mij crasht IE ook zodra je wil browsen (...). IE11 Windows 8.1x64. Ook in inPrivate en zonder addins (starten met -extoff). Bij een eerdere update (ik meen 5.0) kon je ook al niet IE gebruiken (niet eens opstarten). Jammer. Hoop dat ze het snel fixen.
13-03-2015, 15:01 door Spiff has left the building
Door Anoniem, 12:42 uur:
Jammer, IE crashed onmiddellijk.
Door dmstork, 14:17 uur:
Ja, bij mij crasht IE ook zodra je wil browsen (...). IE11 Windows 8.1x64. [...]
@ Anoniem 12:42,
IE 11, vermoed ik?
@ Anoniem 12:42, plus dmstork 14:17,
Kunnen jullie aangeven of jullie naast EMET nog andere anti-exploit software gebruiken, en welke anti-virus software?
EMET 5.2 is niet compatible met HMPA3 Build 167 Release Candidate.
Ook in combinatie met andere anti-exploit software is zoiets vooralsnog niet uit te sluiten, ook met anti-exploit componenten van anti-virus software. Anti-exploit software kan elkaar potentieel in de weg zitten.
Met elke EMET update is het weer afwachten of er misschien nieuwe conflicten ontstaan.

Overigens,
met EMET 5.2 ervaar ik geen problemen met IE9 op Vista x86 en met G Data IS (die een anti-exploit component bevat).
M'n Windows 7 x64 notebook daarop heb ik EMET 5.2 nog niet uitgeprobeerd. Gezien hoe hinderlijk EMET 5.1 daarop was, heb ik nog niet al te veel hoop dat dat heel anders zal zijn met EMET 5.2.
13-03-2015, 15:07 door Spiff has left the building
Door Anoniem, 12:42 uur:
Jammer, IE crashed onmiddellijk.
Door dmstork, 14:17 uur:
Ja, bij mij crasht IE ook zodra je wil browsen (...). IE11 Windows 8.1x64. [...]
Ook in de EMET thread op Wilders Security Forums al een aantal meldingen van het met EMET 5.2 niet meer kunnen gebruiken van IE11, vanaf hier en verder:
http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631/page-41#post-2469354
13-03-2015, 15:07 door Spiff has left the building
[Verwijderd]
13-03-2015, 17:29 door Spiff has left the building
Door Anoniem, 12:42 uur:
Jammer, IE crashed onmiddellijk.
Door dmstork, 14:17 uur:
Ja, bij mij crasht IE ook zodra je wil browsen (...). IE11 Windows 8.1x64. [...]
In de EMET thread op Wilders Security Forums wordt verwezen naar een bijdrage op Microsoft Connect waar aangegeven wordt dat het probleem met IE11 gerelateerd zou zijn aan EMET's Certificate Trust (pinning).
Het uitschakelen daarvan zou het probleem verhelpen.
http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631/page-41#post-2469471
N.B. Ik heb dat zelf nog niet uitgeprobeerd, want ik heb EMET 5.2 nog niet geïnstalleerd op m'n Windows 7 systeem.
13-03-2015, 18:08 door Anoniem
EMET ... ook aanbevolen door de NSA
13-03-2015, 19:39 door Anoniem
Na de installatie van EMET 5.2 worden alle programma's die in EMET apps staan vermeld onder vermelding EAF weer afgesloten.
Ik herinner mij eenzelfde situatie met EMET 5.1, waar uiteindelijk bleek, dat de boosdoender F-Secure was.
Zolang DeepGuard ingeschakeld is, waarschuwt EMET dat er een conflict is met EAF.
Het blijkt dat ook bij EMET 5.2 dit nog steeds het geval is.
14-03-2015, 14:47 door [Account Verwijderd]
[Verwijderd]
14-03-2015, 15:55 door Anoniem
Supported Operating System

Windows 7, Windows 8, Windows 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Vista
- EMET 5.2 requires .NET Framework 4. !!!! (bij sommigen de oorzaak??)
- For Internet Explorer 10 on Windows 8 you need to install KB2790907 – a mandatory Application Compatibility update that has been released on March 12th, 2013 or any other Application Compatibility updates for Windows 8 after that.

EMET 5.2 supports the following operating systems and service pack levels:
Client Operating Systems
• Windows Vista Service Pack 2
• Windows 7 Service Pack 1
• Windows 8
• Windows 8.1

Ik ga dat eens testen, die EMET.
14-03-2015, 16:42 door Spiff has left the building
Door pe0mot, 14:47 uur:
Werkt hier prima (op een verse win7x64 install na het vervangen de schijf door een ssd).
Heb je ook bekeken hoe IE11 functioneert?
Met EMET 5.1 werd door diverse gebruikers aanzienlijke vertraging van IE11 en Firefox gemeld. Het afvinken van EAF+ was dan nodig om die browsers een beetje bruikbaar te maken.
Met EMET 5.2 werd hierboven ook al door een aantal gebruikers problemen met IE11 gemeld. Elders las ik een reactie dat het probleem met EAF+ voor Firefox opgelost lijkt.
14-03-2015, 17:48 door Anoniem
Heb nog Emet 5.1 op Windows 8.1 64. Installeren en integreren ging destijds met enig zoekwerk goed, udate later idem.
Echter ik doe na vastlopers en crashes wat Windows betreft alleen nog de automatische noodzakelijke updates, en verberg verder de optionele, die alleen maar ellende veroorzaken.

EMET behoort net als IE geïntegreerd in Windows te worden vind ik, of anders maar niet.
Ik zal EMET als eenvoudige computeraar dus niet meer op een volgende uitklapper met dan Windows 10 neem ik aan, installeren, tenzij het dan uiteraard gewoon deel uitmaakt van het Windowspakket.
Spaart dagen tijd en hartkloppingen. Mijn advies is duidelijk: Geen EMET of update daarvan meer, hanteer het voorzorgsprincipe, of zeg deskundig kijkend: "Better safe than etc... "

Ik kijk geregeld met veel belangstelling naar deze site, en de commentaren mits wellevend. Daar steek ik vaak wat van op, vandaar dit keer mijn bijdrage.
15-03-2015, 21:15 door Spiff has left the building
Door Anoniem, 13-03-2015, 12:42 uur:
Jammer, IE crashed onmiddellijk.
Door dmstork, 13-03-2015, 14:17 uur:
Ja, bij mij crasht IE ook zodra je wil browsen (...). IE11 Windows 8.1x64. [...]
Door Spiff, 13-03-2015, 17:29 uur:
In de EMET thread op Wilders Security Forums wordt verwezen naar een bijdrage op Microsoft Connect waar aangegeven wordt dat het probleem met IE11 gerelateerd zou zijn aan EMET's Certificate Trust (pinning).
Het uitschakelen daarvan zou het probleem verhelpen.
http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631/page-41#post-2469471
Dezelfde workaround, Disable Certificate Trust (Pinning), wordt hier vermeld:
http://forum.thewindowsclub.com/windows-security/36691-emet-5-2-may-crash-internet-explorer-workaround.html#post172216
Tevens wordt daar vermeld dat Microsoft op de hoogte is van het probleem en werkt aan een oplossing.
16-03-2015, 11:23 door Mysterio
Nice! Ik heb zo juist een eerste upgrade gedaan. Het blijkt dat als ik kies voor het behouden van de instellingen alles dus op default staat en mijn applicatielijst leeg is.
17-03-2015, 11:20 door Spiff has left the building - Bijgewerkt: 18-03-2015, 18:23
Voor wie problemen ondervond met EMET 5.2 in combinatie met Internet Explorer 11 op Windows 8.1,
Microsoft heeft een aangepaste versie uitgebracht.
http://blogs.technet.com/b/srd/archive/2015/03/12/emet-5-2-is-available.aspx
3/16/2015 UPDATE: We have received reports of certain customers experiencing issues with EMET 5.2 in conjunction with Internet Explorer 11 on Windows 8.1. We recommend customers that downloaded EMET 5.2 before March 16th, 2015 to download it again via the link below, and to uninstall the previous EMET 5.2 before installing the new one.
http://aka.ms/emet52
---> https://www.microsoft.com/en-us/download/details.aspx?id=46366
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.