image

Windows 7 met EMET beter beschermd tegen Office-lek dan Windows 10

donderdag 16 november 2017, 16:23 door Redactie, 7 reacties

Gebruikers van Windows 7 met de EMET-beveiligingstool waren beter beschermd tegen een 17-jaar oud beveiligingslek in Office dat Microsoft deze week dichtte dan gebruikers van Windows 10 met EMET of Exploit Guard, zo stelt onderzoeker Will Dorman van het CERT Coordination Center (CERT/CC).

De Enhanced Mitigation Experience Toolkit (EMET) is gratis beveiligingssoftware van Microsoft die aanvullende bescherming tegen bekende en onbekende exploits moet bieden. Het kan zowel het besturingssysteem als applicaties van extra beveiligingslagen voorzien die het lastiger voor aanvallers moeten maken om kwetsbaarheden uit te buiten. Microsoft zal EMET echter gaan uitfaseren en de ondersteuning volgend jaar juli stopzetten. Met de lancering van de Windows 10 Fall Creators Update werd EMET al op Windows 10-systemen vervangen door de Windows Defender Exploit Guard.

Net als EMET voorziet ook Exploit Guard systemen van aanvullende beveiligingsmaatregelen. In het geval van Windows 7 met EMET wordt er een beveiligingsmaatregel genaamd ASLR op systeemniveau ondersteund. Address Space Layout Randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties of het besturingssysteem veel lastiger maken.

Windows 7-gebruikers die EMET op systeemniveau hadden ingeschakeld waren tegen misbruik van het Office-lek beschermd, ook al hadden ze de update nog niet geïnstalleerd. Voor gebruikers van Windows 8 en 10 is dat een ander verhaal, aldus Dormann. Windows 8 en nieuwer zijn namelijk niet in staat om ASLR op systeemniveau af te dwingen, zoals Windows 7 dat wel kan. Gebruikers van nieuwere Windows-versies moeten dan ook specifieke beveiligingsmaatregelen inschakelen om tegen deze specifieke kwetsbaarheid in Microsoft Office beschermd te zijn, zoals Dormann in deze Vulnerability Note uitlegt.

Image

Reacties (7)
16-11-2017, 16:37 door Anoniem
Sja, weinig ironisch aan, er is gewoon een goede reden waarom ASLR niet standaard meer aanstaat:

"Since the Force ASLR feature will cause executable images to be randomized that have not enabled support for ASLR, there is a risk that a compatibility problem may be encountered. In addition, the method used to forcibly relocate executable images that have not been built with /DYNAMICBASE can have a performance impact due to decreased page sharing. This is because Force ASLR essentially mimics the behavior of a base address collision and thus may incur a memory cost due to copy-on-write. As such, the Force ASLR feature is not enabled by default for applications running on Windows 8. Instead, applications must explicitly enable this feature.
The Force ASLR feature has been enabled by default for critical applications such as Internet Explorer 10+, Microsoft Office 2013, and Windows Store applications."

https://blogs.technet.microsoft.com/srd/2013/12/11/software-defense-mitigating-common-exploitation-techniques/
16-11-2017, 17:43 door Anoniem
gewoon Hitmanpro.alert nemen, gratis kan ook
bij iets vinden gaat de 30 dagen proef pas in
17-11-2017, 07:04 door karma4
Een aslr is gewoon security by obscurity. Ofwel iets wat je niet zou moeten willen.
Wil je op hardware niveau aan memory protectie doen dan zal je bijvoorbeeld pages met een extra byte(s) moeten uitrusten en dan met ringen voor type proces moeten werken. Het is uit de oude doos S0c4. Jammer dat zoiets in de basis goed iets verlaten wordt omdat het ook wel eenvoudiger en goedkoper kan.
17-11-2017, 10:28 door Anoniem
Wacht ff, volgens MS is Windows 7 toch onveiliger dan Windows 10? Ze blijven door de mand donderen hé met hun leugens en het plebs trapt er met open ogen in. Ik gebruik sowieso geen MS Office bende dus kwetsbaar was ik sowieso al niet.
17-11-2017, 11:53 door Anoniem
Door karma4: Een aslr is gewoon security by obscurity. Ofwel iets wat je niet zou moeten willen...

ASLR is wel degelijk een effectieve maatregel en dus interessant om als extra beveiligingslaag toe te passen. Het zal geen 100% beveiliging geven, maar wat geeft dat wel? Vandaar ook: extra beveiligingslaag. Om dan te zeggen dat je het niet zou moeten willen is onzinnig...
17-11-2017, 12:15 door [Account Verwijderd]
[Verwijderd]
20-11-2017, 23:33 door [Account Verwijderd] - Bijgewerkt: 20-11-2017, 23:33
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.