Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Pinning rule EMET werkt niet

19-06-2017, 17:51 door Anoniem, 1 reacties
Enhanced Mitigation Experience Toolkit (EMET) 5.52
Instellingen Maximum security
Aanwezige compatibiliteitsproblemen: Filters EAF en EAF+
Alle uitvoerbare programma's worden door het ingeschakelde filter EAF uitgeschakeld.
Door bij EAF het vinkje weg te halen kunnen alle uitvoerbare programma's worden gestart
De optie EAF+ aangevinkt levert geen problemen op.
Dit geld ook voor de browsers IE 11, Firefox 54, en Chrome 59.0.3071.86 (Officiële build) (64-bits)
https://support.microsoft.com/nl-nl/help/2909257/emet-mitigations-guidelines
https://support.microsoft.com/en-us/help/2909257/emet-mitigations-guidelines

Option Trust ----Pinning Rules Certificaten internetbankieren
In deze sectie heb ik een pinning rule aangemaakt voor internetbankieren (AbnAmro) IExplorer 11
Het door de AbnAmro gebruikte certificaat is QuoVadis Root CA2--QuoVadis EV SSL ICA G1
Vingerafdruk QuoVadis Root CA2 : CA3AFBCF1240364B44B216208880483919937CF7
Vingerafdruk QuoVadis EV SSL ICA G1: ?62 85 32 b7 3d bb 41 a5 86 2a e4 af f7 49 e6 7a cb cb b5 60

Het certificaat dat ik voor de pinning rule AbnAmro heb geimporteerd is bewust een fout certificaat
In dit geval VeriSign (18DAD19E267DE8BB4A2158CDCC6B3B4A) VeriSign Class 3 Public Primary.
Dit zou moeten betekenen, dat wanneer ik de beveiligde website van de AbnAmro [www.abnamro.nl]
aanroep, en wil inloggen, door EMET een waarschuwing moet worden gegeven, en een blokkering van de browser
(IE). Dit gebeurt niet, en ik kan gewoon inloggen.

Gelet op eerdere ervaring met een wel werkende pinning rule in het internetbankieren, zie ik geen oorzakelijk verband met het EAF filter. Daarom zie ik reacties over deze omissie in EMET tegemoet.
Reacties (1)
19-06-2017, 23:40 door Anoniem
Ik heb een pinning rule voor de website www.security.nl gemaakt, en de website reageert correct wanneer in EMET een ander certificaat wordt opgegeven. Security.nl gebruikt thawte (344ED55720D5EDEC49F42FCE37DB2B6D) Primary Root, Vingerafdruk: 91C6D6EE3E8AC86384E548C299295C756C817B81

Indien een ander certificaat wordt gebruikt dan komt de foutmelding rechtsonder in het scherm, en verdwijnt weer naar enige seconden. De browser wordt niet afgesloten, en er gebeurt verder niks. Alleen een waarschuwing.

EMET werkt alleen maar in Microsoft Iexplorer, en niet in de ander browsers.
Inmiddels heb ik EMET ook op de website van de Rabobank en de ING getest, en daar komt direct ook een waarschuwing, dat het certificaat niet juist is.

Maar in de AbnAmro website komt er geen EMET waarschuwing, indien een onjuist certificaat in EMET wordt gebruikt.

Wat daar de reden van is, blijft voorlopig een raadsel.
Het is bovendien jammer te noemen, dat EMET ten aanzien van de browserveiligheid alleen maar werkt met Microsoft zijn eigen browser.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.