EMET 5.1

Microsoft, Windows

EMET 5.1

A Microsoft Security Research and Defense blogján az EMET csapat bejelentette, hogy elérhető az EMET (Enhanced Mitigation Experience Toolkit) 5.1-es kiadása. A főbb változások:

  • Several application compatibility issues with Internet Explorer, Adobe Reader, Adobe Flash, and Mozilla Firefox and some of the EMET mitigations have been solved.
  • Certain mitigations have been improved and hardened to make them more resilient to attacks and bypasses.
  • Added “Local Telemetry” feature that allows to locally save memory dumps when a mitigation is triggered.

Az EMET 5.1 letölthető innen. Részletes változások listája itt. Részletek a bejelentésben.

( trey | 2014. 11. 11., k – 10:46 )

Néhány gondolat az EMET-tel kapcsolatban:

  • jó ideje használom, "recommendeed securtity" beállításokkal, nem tudom, hogy így ér-e valamit, még nem volt erőm átnézni a 1,2 MB-os user guide-ot
  • 10-ből 10 általam megkérdezett Windows rendszergazda még csak nem is hallott róla (nem kéne neki egy kicsit nagyobb reklám?)
  • ha valóban mitigálja a csúnya dolgokat, miért nem része az alap Windows telepítésnek?
  • miért nem frissül automatikusan?

Egyébként alapértelmezett (recommended security) beállításokkal nem okoz semmilyen kompatibilitási problémát (kb. 20 gépen látom tevékenykedni). Viszont látható nyomát sem látom annak, hogy csinálna valamit (mondjuk ettől még csinálhat).

További tapasztalatok másoktól érdekelnének.

--
trey @ gépház

Szerintem legfeljebb MS rendszergazdák, és közülük is többnyire csak a paranoidok ismerhetik. Mint amilyen például a miénk is. :)

ha valóban mitigálja a csúnya dolgokat, miért nem része az alap Windows telepítésnek?
Biztosra nem tudom, de gondolom azért nem, mert okoz azért inkompatibilitást. Nálam például tipikusan:

  • A Quake 3 (cigi szünet megfelelője nemdohányosoknak) el sem indul, ha a Data Execution Prevention kötelező (Always On, vagy Application Opt Out)
  • A Firefox elég sűrűn fagy, a fájl megnyitás dialognál (tipikusan download esetén). Persze az ASR-en kívül minden védelmet bekapcsoltam rá. Szoktam is jelenteni Mozilláéknak. Persze ezt okozhatja valami explorer shell context menüjébe integrálódott alkalmazás (pl.: 7-zip) is

Pontosítanék: nem fagy sűrűn. De ha file upload/download funkciót használom, ott ötből négyszer igen, főleg akkor, ha sok tab van nyitva. A környezet egyébként Win8, X64. Azért mondom, hogy nem biztos, hogy a Firefox a ludas, mert egy ilyen FileOpen dialog ablaknál sok cucc tud még aktivizálódni, ami nem Firefox-függő (pl.: TortoiseSVN átalakítja a fájlok ikonjait.) ERgo, nem biztos, hogy a FF tehet róla.

Viszont biztonságot növelni szándékozó program. Mint egy víruskereső (remélem figyelted a fenti hozzászólásban a víruskereső szó toldalékait), ami lehet bugos. Vagy mint a SELinux, ami szintén lehet bugos. De mint tudjuk az EMET tökéletes, garantáltan nincs benne hiba, és egy centivel nem növeli az attack surface-t (nem).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Tisztában lenni a működésével olyan szinten, hogy hova épül be, pontosan mihez kapcsolódik, pontosan mit csinál? Ahhoz a Windows működését is elég részletesen kéne ismerni.
Miért ne okozhatna gondot olyan kód, ami az alap rendszer működését befolyásolja? Miért kéne pont úgy támadhatónak lenni, mint a víruskeresők, SELinux, mod security,...?
Az a tapasztalat, hogy a plusz védelmet adó kódok is szoktak gondot okozni. Ritka de előfordul. Az EMET esetén senki nem írt még olyan tapasztalatot, hogy haszna volt, olyat viszont írt, hogy blokkolt feltehetőleg normális működést. Nem lehet véletlen, hogy nincsen elterjedve. Mivel fejlesztik, sok mindent ígér, ezért csak lehet valami gyakorlati haszna.

Ilyenkor is hozzászólhatnának az MS-nél dolgozók, nem csak amikor az Azure-t, O365-t kell reklámozniuk.

"Tisztában lenni a működésével olyan szinten, hogy hova épül be, pontosan mihez kapcsolódik, pontosan mit csinál? Ahhoz a Windows működését is elég részletesen kéne ismerni."

Jahat igen, az nem artana velemenyalkotas elott. (De egyebkent semmi black magic nincs benne.)

"Miért kéne pont úgy támadhatónak lenni, mint a víruskeresők, SELinux, mod security,...?"

Ez erdekelne engem is.

"Az EMET esetén senki nem írt még olyan tapasztalatot, hogy haszna volt,"

Tessek: "haszna volt". Csak gondolom igy, hogy ez az osszes publikus informacio az esetrol, annyira nem erdekes.

--
"You're NOT paranoid, we really are out to get you!"

A működéséből nekem annyi elég, hogy minden védett processzben ott figyel az EMET.dll, hogy egy állandóan futó alkalmazást telepít stb. Innentől kezdve kérdés, hogy melyikre látsz nagyobb esélyt: olyan sebezhetőséggel találkozol, amit az EMET kivédene, de nincs EMET-ed, vagy hogy ott van az EMET mindenhol.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sajnos nem dolgozok ahhoz elég fontos helyen, hogy igazából számítson. :) Főképp elővigyázatossági okokból van fent, mert csak Windows Defenderre van keret, amellett pedig minden plusz folt jól jön, akár átnevezett MSE, akár nem.

Őszintén, még nem láttam a naplózásban hogy valamit valóban megfogott volna, de egy fokkal jobban alszok és ez is szempont, főleg ha ingyen van egy lehetséges védelmi vonal.

Ahogy elnézem eddig mindenki annyit tud róla, hogy az MS által készített és ajánlott program ami valamilyen módon növeli a biztonságot. Tapasztalati úton senki nem vet észre sem áldásos, sem hátrányos működést.
Nem lehet, hogy ez egy "jól eladott" hátsóbejárat? Nem tudom, csak úgy eszembe jutott.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Windows event log \ application log \ filter: EMET --> látod mit művelt a háttérben mióta telepítve lett. Az Error típusú bejegyzések jelentenek olyan eseményt, amikor beavatkozott. Valóban nem sokat mocorgott nálam, egy excel crash köthető hozzá, plusz a twitter/yahoo RootCA figyelő rule-ja járt le a bétában még nyáron.

Az Application configban van, h. mit csináljon baj esetén: AUDIT-only v. STOP exploit(+audit)

Azért alapvetően növeli a biztonságot pl. a Data Execution Prevention. Más kérdés, hogy vannak programok, amik enélkül nem mennek (mondjuk, hogy miért kell DEP exception listára tenni egy Half-Life-ot, az jó kérdés. Neverwinter Nigths 2-nél legalább sejtem, hogy a DRM miatt volt.).

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

EMET 4.x alatt soha nem volt gondom, használtam kb. 1,5 éve. Az 5.0-ra upgrade után az EAF+ engedélyezése Win7 64bit-en IE11 alatt viszont már okozott mindenféle extrém hibákat: nem lehetett kattintani az IE11 toolbarján a menüben, IE11 fagyások, nem reagáló address bar és hasonló kreténségek. Mikor letiltottam az iexplore.exe-re az EAF+-ot, meg még vmi mást, jó lett.

Update: EMET5.1-el továbbra is szar az IE11 win7 64 bit-en (EAF, EAF+ és ASR kell letiltani, utána használható lesz)