Computerbeveiliging - Hoe je bad guys buiten de deur houdt

EMET 5.5 ASR mitigation iexplore.exe

24-02-2016, 20:39 door [Account Verwijderd], 14 reacties
Wanneer ik in internet iexplorer een webpagina bezoek, en vervolgen rechtermuisknop op eigenschappen klik krijg ik van EMET 5.5 een vermelding


EMET 5.5

EMET detected ASR mitigation in iexplorer.exe
Component: Microsoft ® VBScript

Zij er hier meer die deze melding krijgen/ kunnen reproduceren wanneer ze de eigenschappen bekijken van een webpagina?
Reacties (14)
26-02-2016, 17:00 door W. Spu
Dit is inderdaad een (voor mij) bekende melding.

Als gebruiker krijg je erg weinig informatie waarom dit gebeurd. Zeker als er ergens op een webiste Iframes gebruikt wordt met ????scripts en je krijgt zo'n melding ben je geneigd de website die je bezoekt in de trusted sites zone op te nemen. De melding is daarmee echter niet weg en het is niet te achterhalen waar de melding door veroorzaakt wordt. Als het iedere keer gebeurd gaan mensen deze melding en de meldingen die wel belangrijk zijn negeren. Om dit te voorkomen zou je natuurlijk heel ASR kunnen uitschakelen maar dan mis je die beveiliging weer.

Ik vind het gebrek aan informatie voor de gebruiker en beheerder een groot nadeel. Het is één van de redenen waarom ik EMET in een bedrijf niet standaard bij iedereen zou uitrollen.
27-02-2016, 01:43 door Anoniem
Niet helemaal mijn ding, maar als ik toch mag proberen om wat op weg te helpen:
Weet je zeker dat dit iets is met EMET5.5? Of kan het ook iets met de gebruikte browser zijn? (IE11?)

In https://www.winhelp.us/microsoft-emet.html las ik:
EMET 5.2 added VBScript (vbscript.dll) blocking to IE in order to protect the browser from the so-called "VBScript God Mode" exploits.
Wedden dat hetzelfde stukje beveiliging dan ook in EMET 5.5 ingebouwd zit? ;-)
En dan zou daar zo'n melding als jij hebt gezien wel eens vandaan kunnen komen.

Nu is het nog wel de vraag waar dit precies aan ligt.
EMET 5.5?
IE-browser? (vermoedelijk gebruik je IE11?)
Iets anders?
De kans dat er iets schadelijks gaande is, lijkt me namelijk niet erg groot: er zijn meer klachten op internet hierover.

Om te proberen wat wijzer te worden omtrent waar de oorzaak zit, kun je misschien het volgende eens proberen:
- is je IE-browser misschien zo ingesteld dat hij automatisch VBSscript uitvoert?

En dan check eventueel verder:
- is de webpagina waarbij het optreedt virus en malwarevrij? (staat website niet als ricicovol bekend?
en check webpage bijv. eens met virustotal)
- check combinatie van dezelfde browser met EMET5.2
- check combinatie van een iets oudere versie IEbrowser met EMET5.2 en EMET5.5
- zie je in bovenstaande combinaties ook nog een verschil tussen gebruik in user mode en in admin mode?
(het kan bijv. zijn dat het in admin mode niet optreedt, omdat je dan meer rechten hebt. Wel voorzichtig zijn)

Goeroehoedjes
27-02-2016, 18:50 door [Account Verwijderd]
Door W. Spu 26-02-2015 17:00 uur: Dit is inderdaad een (voor mij) bekende melding.

Als gebruiker krijg je erg weinig informatie waarom dit gebeurd. Zeker als er ergens op een webiste Iframes gebruikt wordt met ????scripts en je krijgt zo'n melding ben je geneigd de website die je bezoekt in de trusted sites zone op te nemen. De melding is daarmee echter niet weg en het is niet te achterhalen waar de melding door veroorzaakt wordt. Als het iedere keer gebeurd gaan mensen deze melding en de meldingen die wel belangrijk zijn negeren. Om dit te voorkomen zou je natuurlijk heel ASR kunnen uitschakelen maar dan mis je die beveiliging weer.

Ik vind het gebrek aan informatie voor de gebruiker en beheerder een groot nadeel. Het is één van de redenen waarom ik EMET in een bedrijf niet standaard bij iedereen zou uitrollen.

Bedankt W.Spu, helaas krijg je inderdaad erg weinig informatie te zien, ik vraag mij ook af of het wel aan de websie ligt, ik verschillende websites heb bezocht, en overal pas de melding krijg als ik rechter muisknop eigenschapen open.

ASR, ga ik niet uitschakelen aangezien ik niet de beveiliging wil missen, en het dus alleen optreed als ik bij eigenschapen ga kijken bij een webpagina geopend in IE11.

Door Anoniem 27-02-2015 01:43 uur: Niet helemaal mijn ding, maar als ik toch mag proberen om wat op weg te helpen:
Weet je zeker dat dit iets is met EMET5.5? Of kan het ook iets met de gebruikte browser zijn? (IE11?)

In https://www.winhelp.us/microsoft-emet.html las ik:
EMET 5.2 added VBScript (vbscript.dll) blocking to IE in order to protect the browser from the so-called "VBScript God Mode" exploits.
Wedden dat hetzelfde stukje beveiliging dan ook in EMET 5.5 ingebouwd zit? ;-)
En dan zou daar zo'n melding als jij hebt gezien wel eens vandaan kunnen komen.

Nu is het nog wel de vraag waar dit precies aan ligt.
EMET 5.5?
IE-browser? (vermoedelijk gebruik je IE11?)
Iets anders?
De kans dat er iets schadelijks gaande is, lijkt me namelijk niet erg groot: er zijn meer klachten op internet hierover.

Om te proberen wat wijzer te worden omtrent waar de oorzaak zit, kun je misschien het volgende eens proberen:
- is je IE-browser misschien zo ingesteld dat hij automatisch VBSscript uitvoert?

En dan check eventueel verder:
- is de webpagina waarbij het optreedt virus en malwarevrij? (staat website niet als ricicovol bekend?
en check webpage bijv. eens met virustotal)
- check combinatie van dezelfde browser met EMET5.2
- check combinatie van een iets oudere versie IEbrowser met EMET5.2 en EMET5.5
- zie je in bovenstaande combinaties ook nog een verschil tussen gebruik in user mode en in admin mode?
(het kan bijv. zijn dat het in admin mode niet optreedt, omdat je dan meer rechten hebt. Wel voorzichtig zijn)

Goeroehoedjes

Bedankt voor de informatie. Ik gebruik inderdaad IE11 ja. Ik Wat betreft punt 1 zie mijn antwoord op W.Spu zijn reactie. De combinatie met EMET5.2 ga ik uitproberen en laat ik nog weten. Een oudere versie van IE11 gebruiken gaat niet aangezien die niet beschikbaar is voor windows 8.1.

Het probleem treed op met een account met verminderde rechte, op een admin account weet ik het niet, dat moet ik even kijken of ik datbwel wil testen.

Ik ga ook testen wat er gebeurd als ik z3lf een sipel html bestandje maakt en die open in IE11 en op eigenschapen klik.
27-02-2016, 21:09 door [Account Verwijderd]
Door _kraai__ 27-02-2015 18:50 uur:

De combinatie met EMET5.2 ga ik uitproberen en laat ik nog weten.

Het lijkt erop dat het installatie bestand van EMET5.2 niet meer wordt aangeboden.
27-02-2016, 21:26 door Spiff has left the building
Door _kraai__, 21:09 uur:
Het lijkt erop dat het installatie bestand van EMET5.2 niet meer wordt aangeboden.
Dat zal hoogstwaarschijnlijk zijn vanwege de kwetsbaarheid in eerdere EMET versies dan 5.5, en is dus verstandig.
Zie:
https://www.security.nl/posting/462099/Aanvaller+kon+Microsoft+EMET+zichzelf+laten+uitschakelen
https://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html

Maar dat betekent dan natuurlijk wel dat, als je niet een eerdere versie bewaard hebt, dat je dan geen eerdere versie meer beschikbaar hebt voor test-doeleinden.
27-02-2016, 23:42 door Anoniem
Door _kraai__:
Door _kraai__ 27-02-2015 18:50 uur:

De combinatie met EMET5.2 ga ik uitproberen en laat ik nog weten.

Het lijkt erop dat het installatie bestand van EMET5.2 niet meer wordt aangeboden.

O ja, dat kan natuurlijk... Da's dus pech als je niet de gewoonte hebt om kopie van vorige versie te bewaren.
kan soms van pas komen met probleemzoeken en vergelijken in kwesties als deze.
Wat je wel makkelijk ook nog kan testen, is of het verschil maakt om de website eens aan de "trusted zone" toe te voegen.
(als er tenminste voldoende bewijs is dat er met de betreffende website zelf geen kwalijke dingen aan de hand zijn)

Ontdekte trouwens ook nog dit:
https://msdn.microsoft.com/en-us/library/dn384057(v=vs.85).aspx
Als IE11 in het geheel geen vbs scripting ondersteunt, dan wordt het interessant hoe te verklaren
dat EMET 5.5 toch een waarschuwing genereert ten gevolge van "Component: Microsoft ® VBScript".
Voor mij houdt het hier zo'n beetje op.
Of misschien dat je zaken hebt geïnstalleerd die een snelle link onder de rechter muisknop hebben
en die daarbij gebruik maken van VBScript?

Goeroehoedjes
27-02-2016, 23:57 door W. Spu
Door _kraai__: De combinatie met EMET5.2 ga ik uitproberen en laat ik nog weten.

Ik heb deze ervaring (gehad) met EMET 5.2. De nieuwe EMET 5.5 versie heb ik nog niet goed kunnen uit proberen. Op een laptop heb ik, na het verwijderen van alle mitigations, versie 5.2 verwijderd en na een reboot versie 5.5 geïnstalleerd. Hierna kwamen diverse programma's niet meer tevoorschijn terwijl het proces wel gestart was. Op een virutele pc werkt EMET 5.5 echter wel behoorlijk waar versie 5.2 alles gigantisch traag maakte.

Al met al blijf ik met dit soort wisselende ervaringen van mening dat je EMET niet grootschalig kan installeren bij onervaren gebruikers.
28-02-2016, 19:36 door [Account Verwijderd]
Door Spiff 27-02-2016 21:26 uur:
Dat zal hoogstwaarschijnlijk zijn vanwege de kwetsbaarheid in eerdere EMET versies dan 5.5, en is dus verstandig.
Zie:
https://www.security.nl/posting/462099/Aanvaller+kon+Microsoft+EMET+zichzelf+laten+uitschakelen
https://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html

Maar dat betekent dan natuurlijk wel dat, als je niet een eerdere versie bewaard hebt, dat je dan geen eerdere versie meer beschikbaar hebt voor test-doeleinden.

Bedankt voor de informatie Spiff, dat nieuwsbericht heb ik blijkbaar gemist. Een eerder versie heb ik inderdaad niet bewaard.

Door Anoniem 27-02-2015 23:42 uur:
O ja, dat kan natuurlijk... Da's dus pech als je niet de gewoonte hebt om kopie van vorige versie te bewaren.
kan soms van pas komen met probleemzoeken en vergelijken in kwesties als deze.
Wat je wel makkelijk ook nog kan testen, is of het verschil maakt om de website eens aan de "trusted zone" toe te voegen.
(als er tenminste voldoende bewijs is dat er met de betreffende website zelf geen kwalijke dingen aan de hand zijn)

Zoals ik eerder schreef vermoed ik niet dat het probleem aan de website ligt, aangezien ik de melding van EMET bijna bij alle websites krijg. Echter heb ik wel de door jouw omschreven test uitgevoerd. Als ik de webpagina niet in de "trusted zone" staat levert dit een melding op van EMET5.5. Als de webpagina vervolgens aan de "trusted zone" wordt toegevoegd, verschijnt er geen melding van EMET5.5.

Door Anoniem 27-02-2015 23:42 uur:
Ontdekte trouwens ook nog dit:
https://msdn.microsoft.com/en-us/library/dn384057(v=vs.85).aspx
Als IE11 in het geheel geen vbs scripting ondersteunt, dan wordt het interessant hoe te verklaren
dat EMET 5.5 toch een waarschuwing genereert ten gevolge van "Component: Microsoft ® VBScript".
Voor mij houdt het hier zo'n beetje op.
Of misschien dat je zaken hebt geïnstalleerd die een snelle link onder de rechter muisknop hebben
en die daarbij gebruik maken van VBScript?

Goeroehoedjes

Vreemd, hier heb ik eigenlijk ook geen verklaring voor. Het enige wat ik heb geïnstalleerd als extensie in Internet Explorer is adblock plus, ik weet niet of deze gebruik maakt van VBScript?

Door W. Spu 27-02-2015 23:57 uur:

Ik heb deze ervaring (gehad) met EMET 5.2. De nieuwe EMET 5.5 versie heb ik nog niet goed kunnen uit proberen. Op een laptop heb ik, na het verwijderen van alle mitigations, versie 5.2 verwijderd en na een reboot versie 5.5 geïnstalleerd. Hierna kwamen diverse programma's niet meer tevoorschijn terwijl het proces wel gestart was. Op een virutele pc werkt EMET 5.5 echter wel behoorlijk waar versie 5.2 alles gigantisch traag maakte.

Al met al blijf ik met dit soort wisselende ervaringen van mening dat je EMET niet grootschalig kan installeren bij onervaren gebruikers.

Tot nu toe is dit eigenlijk pas zoverre ik weet het eerste probleem wat ik tegenkom met EMET5.5 sinds de installatie, en welke ik eigenlijk niet kan verklaren. Tot nu toe ben ik bij problemen met EMET er meestal wel uitgekomen wat er in de weg zit, maar bij het in dit topic besproken probleem kom ik er niet uit. Heel veel last heb ik er niet van aangezien ik niet voor elke pagina die ik open, de eigenschappen ga bekijken, maar als ik ze wil bekijken is het in dit topic besproken probleem wel best vervelend.
29-02-2016, 18:13 door W. Spu - Bijgewerkt: 29-02-2016, 18:16
Door _kraai__: Zijn er hier meer die deze melding krijgen/ kunnen reproduceren wanneer ze de eigenschappen bekijken van een webpagina?

Zie ook "Fresh EMET 5.5 installation giving a ASR warning ( Module : VBScript.dll) running Explorer 11" (https://social.technet.microsoft.com/Forums/security/en-US/98467076-2432-4e2a-96e1-0e1010b2cecc/fresh-emet-55-installation-giving-a-asr-warning-module-vbscriptdll-running-explorer-11?forum=emet)

Wat ik nog vergeten ben te vragen: Heb je al eens geprobeerd Internet Explorer zonder add-ons te starten via "iexplore.exe –extoff"? Mogelijk dat een context-menu optie vbscript gebruikt?
29-02-2016, 21:56 door [Account Verwijderd]
Door W. Spu 29-02-2016 21"54 uur:
Zie ook "Fresh EMET 5.5 installation giving a ASR warning ( Module : VBScript.dll) running Explorer 11" (https://social.technet.microsoft.com/Forums/security/en-US/98467076-2432-4e2a-96e1-0e1010b2cecc/fresh-emet-55-installation-giving-a-asr-warning-module-vbscriptdll-running-explorer-11?forum=emet)

Wat ik nog vergeten ben te vragen: Heb je al eens geprobeerd Internet Explorer zonder add-ons te starten via "iexplore.exe –extoff"? Mogelijk dat een context-menu optie vbscript gebruikt?
Ik kan niet vinden hoe ik dat voor elkaar moet krijgen. In Windows 7 stond deze optie in het start menu, maar ik in Windows 8 of Windows 10 ben ik die mogelijkheid nog niet tegengekomen. Ik heb wel gekeken wat er gebeurd als ik IE in "inPrivate-navigatie" start, en dan de eigenschappen van een webpagina bekijk. Ook dan treed een melding van EMET5.5 op.
29-02-2016, 22:38 door W. Spu
Door _kraai__: Ik kan niet vinden hoe ik dat voor elkaar moet krijgen. In Windows 7 stond deze optie in het start menu, maar ik in Windows 8 of Windows 10 ben ik die mogelijkheid nog niet tegengekomen.

Als ik het goed begrijp (bron *1) heeft Microsoft deze optie "Internet Explorer (No Add-ons)" verwijderd uit het start menu. Je kan nog wel Internet Explorer zonder Add-ons opstarten via de Run optie (Windows toets + R) en het commando: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff

Internet Explorer zal geopend worden met een 'Add-ons Disabled' TAB met de gele "Add-ons are currently disabled" notification onderin het scherm die je schijnbaar niet moet sluiten.

*1: Zie het kopje 'Running Internet Explorer without add-ons' op de pagina https://www.winhelp.us/internet-explorer-11-troubleshooting.html
01-03-2016, 13:40 door Anoniem
Als je EMET 5.5 draait is terug gaan naar een oudere (v5.2) versie natuurlijk een slecht advies; je draait ook niet een AV met de virusdefinities van vorig jaar .... toch ? Ik deel het vermoeden dat het best eens door een plugin als AV o.i.d. zou kunnen komen; ik draait EMET 5.5 met vrijwel alle opties aan en heb geen issues met IE (Win 8.1) ...

ASR kun je trouwens wel uitzetten, moderne malware omzeilt dat toch allang vlekkeloos en de hele oude malware die nog hardcoded adressen gebruiken zijn niet meer relevant door alle opgehoogde patch-levels ...
01-03-2016, 14:44 door Anoniem
Door Anoniem: Als je EMET 5.5 draait is terug gaan naar een oudere (v5.2) versie natuurlijk een slecht advies; je draait ook niet een AV met de virusdefinities van vorig jaar .... toch ? Ik deel het vermoeden dat het best eens door een plugin als AV o.i.d. zou kunnen komen; ik draait EMET 5.5 met vrijwel alle opties aan en heb geen issues met IE (Win 8.1) ...

ASR kun je trouwens wel uitzetten, moderne malware omzeilt dat toch allang vlekkeloos en de hele oude malware die nog hardcoded adressen gebruiken zijn niet meer relevant door alle opgehoogde patch-levels ...

Zo te horen snap je het niet helemaal. De stap terug naar EMET 5.2 is bedoeld binnen het kader van probleemzoeken.
Je doet dit maar heel eventjes in een trusted omgeving, om te kijken of ook hier het symptoom optreedt.
Daarna ga je uiteraard voordat je de trusted omgeving verlaat weer naar EMET5.5 toe.

http://blogs.technet.com/b/kfalde/archive/2014/08/27/managing-ie-sites-for-emet-with-asr-attack-surface-reduction.aspx:
"One of the great new features we introduced with 5.0 is ASR or Attack Surface Reduction. ASR is a generic plugin blocker that works primarily with Internet Explorer as well as some with Office programs such as Word, Excel and Powerpoint. ASR currently is a simple yes/no type of operation where if a certain plugin is detected in a protected application ASR will not allow the specified plugin to load in the protected application. .....etc.
Dit werpt misschien weer wat meer licht op de zaak. ;-)

Goeroehoedjes
01-03-2016, 23:11 door [Account Verwijderd] - Bijgewerkt: 02-03-2016, 00:00
Door W. Spu 29-02-2016 22:38 uur:

Als ik het goed begrijp (bron *1) heeft Microsoft deze optie "Internet Explorer (No Add-ons)" verwijderd uit het start menu. Je kan nog wel Internet Explorer zonder Add-ons opstarten via de Run optie (Windows toets + R) en het commando: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff

Internet Explorer zal geopend worden met een 'Add-ons Disabled' TAB met de gele "Add-ons are currently disabled" notification onderin het scherm die je schijnbaar niet moet sluiten.

*1: Zie het kopje 'Running Internet Explorer without add-ons' op de pagina https://www.winhelp.us/internet-explorer-11-troubleshooting.html

Dit werkt! als ik IE11 draai zonder add-ons, krijg ik geen melding van EMET5.5 voorgeschoteld als ik de eigenschappen van een webpagina bekijk. Belangrijk is inderdaad wel om het venster onderin niet te sluiten, anders treed er wel een melding op.

Ik ga wanneer ik er uitgebreid de tijd voor heb, maar eens alle add-ons uitschakelen, en dan een voor een inschakelen, kijken bij welke (of meerdere) het probleem ligt.

edit
en naar een tweede test kwam er wel weer een melding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.