Enhanced Mitigation Experience Toolkit 5.2

Microsoft Logo Microsoft heeft versie 5.2 van de Enhanced Mitigation Experience Toolkit uitgebracht. EMET is een gratis programma waarmee Windows en third-party-programma's kunnen worden beschermd tegen bekende en nog onbekende zogenaamde exploits door af te dwingen dat deze gebruikmaken van bepaalde beveiligingsmethodes in Windows, zoals Address Space Layout Randomization en Data Execution Prevention. De changelog voor versie 5.2 laat de volgende verbeteringen zien:

EMET 5.2 release includes new functionality and updates, such as:

Attack Surface Reduction (ASR), to limit the attack surface of applications and reduce attacks.

Export Address Table Filtering Plus (EAF+), to improve and extend the current EAF mitigation.

64-bit ROP mitigations, to anticipate future exploitation techniques.

Several security, compatibility and performance improvements.

Enhanced Mitigation Experience Toolkit screenshot (620 pix)

Lees meer

Reacties (23)

MaDMaRTiGaN648 18 maart 2015 07:26

De versie van 15 maart is 'stiekem' vervangen door een nieuwe versie met als publicatie datum 16 maart. Het crashen van Internet Explorer 11 op Windows 8.1 is daarin opgelost.

jmmk 15 maart 2015 13:25

?!? MS bouwt kennelijk de beveiligingsmechanismen wel in, maar levert dan een aparte applicatie als deze om het te gebruiken?
Waarom zou dat zijn, oprechte vraag - heeft iemand een idee?

Zoëven de uitleg van MS bekeken (klik!), die is er ook alleen maar positief over. Terrestial (hierboven) claimt dat het verder niet in de weg zit, dus waarom pakken ze dit op deze manier aan?

link toegevoegd

@Beelzebassie, Rainboww, dank!

[Reactie gewijzigd door jmmk op 24 juli 2024 07:47]

Beelzebassie @jmmk • 15 maart 2015 13:32

Je zult zelf actief programma's moeten beschermen:

"After you install EMET, you must configure EMET to provide protection for a piece of software. This requires you to provide the name and location of the executable file that you want to protect."

Ik ben het met je eens dat EMET standaard in Windows zou moeten zitten, maar het is geen fire-and-forget programma, het vereist participatie van de gebruiker.

EDIT: @Calvin:
Ook al gebruik je een profiel, dan nog zul je moeten nagaan of de door jou gebruikte programma's hierin opgenomen zijn, en zo niet, deze zelf handmatig moeten toevoegen.

[Reactie gewijzigd door Beelzebassie op 24 juli 2024 07:47]

Stupendous Man @Beelzebassie • 15 maart 2015 15:39

Beelzebassie citeerde van de EMET pagina.
Echter, die beschrijving is gedeeltelijk achterhaald.
Je kunt handmatig executable files onder de hoede van EMET brengen, maar het kan ook veel gebruikersvriendelijker, door een meegeleverd Protection Profile toe te passen:
1. Installeer EMET met Recommended Settings.
Zo worden de EMET mitigations gelijk toegepast op het Protection Profile "Recommended Software", waarmee Internet Explorer, Wordpad, Microsoft Office, Adobe Reader en Acrobat, Java worden beschermd.
2. Uitgebreider:
Open na het installeren EMET, kies Import, en selecteer het Protection Profile "Popular Software", waarmee de EMET mitigations nu op een veel ruimere selectie applicaties worden toegepast. (Om te bekijken welke allemaal, ga in Windows Explorer naar
C:\Program Files (x86)\EMET 5.2\Deployment\Protection Profiles\
en bekijk Popular Software.xml in Notepad.)
3. Tevens:
In EMET, onder System Status, selecteer voor DEP de instelling "Application Opt Out", of eventueel "Always On" (conflicteert "Always On" met een bepaalde applicatie, zet dan terug naar "Application Opt Out").
En voor SEHOP, selecteer de instelling "Application Opt Out", voor Windows 7+, of "Always On" voor Vista.

Stupendous Man @Beelzebassie • 15 maart 2015 20:19

Beelzebassie voegde toe,

Ook al gebruik je een profiel, dan nog zul je moeten nagaan of de door jou gebruikte programma's hierin opgenomen zijn, en zo niet, deze zelf handmatig moeten toevoegen.

Uiteraard omvatten de Protection Profiles niet alle programma's.
De dekking van Protection Profile "Popular Software" is te beoordelen zoals ik eerder vandaag al aangaf, of na toepassing daarvan te bekijken via EMET\ Apps.
Software die niet standaard gedekt wordt door dat Protection Profile, die kan naar wens nog toegevoegd worden.
Maar dat neemt neemt niets weg van het feit dat de door Beelzebassie eerder geciteerde beschrijving op de EMET-pagina nog niets zegt over de mogelijkheid in één keer een hele lijst software onder de hoede van EMET te brengen door middel van toepassing van Protection Profile "Popular Software". Merkwaardig dat Microsoft dat daar niet simpelweg vermeldt. Een eenvoudige beschrijving zoals ik die eerder vandaag neerzette zou veel gebruikers kunnen helpen EMET gemakkelijker toe te passen, denk ik.

Rainboww @jmmk • 15 maart 2015 13:35

Het risico bestaat dat toepassingen niet compatibel zijn met de risicobeperkende beveiligingstechnologieën waarvan EMET gebruikmaakt. Sommige toepassingen zijn afhankelijk van het gedrag dat door deze technologieën wordt geblokkeerd.
http://support.microsoft.com/en-us/kb/2458544/nl

MaDMaRTiGaN648 @Rainboww • 15 maart 2015 20:28

Een van de bij mij bekende applicaties die compatibiliteitsproblemen geeft is Sophos Antivirus. Doordat Sophos zelf ook bepaalde technieken gebruikt, gaan deze twee met een default configuratie niet samen. Door de features ‘detect suspicious behaviour’ en ‘detect buffer overflow' in Sophos uit te schakelen, kunnen deze compatibiliteits problemen omzeild worden.

GB2 @Rainboww • 16 maart 2015 10:25

Mijn ervaring is dan dat het in de 9 van de 10 keer gewoon niet goed is geprogrammeerd.

MaDMaRTiGaN648 @jmmk • 15 maart 2015 20:47

Naast het feit dat er compatibiliteitsproblemen zijn, is de interface natuurlijk veel te ingewikkeld voor een gemiddelde Windows gebruikter. Je kunt per applicatie maar liefst 14 vinkjes zetten, dat zijn 2^14 (=16384) mogelijkheden per applicatie... En dan verschilt het nog per OS en of het een 32-bits of 64-bits applicatie is, want dan zijn sommige opties uitgesloten.

Als een applicatie niet compatible is, kun je je overigens ook afvragen of deze applicatie niet juist een risico voor je systeem vormt. En in plaats van een beveiligingsuitzondering te maken, of je er niet beter aan zou doen om deze applicatie dan maar links te laten liggen en niet te installeren en/of te gebruiken.

Daarnaast is het onderdeel Certificate Pinning ook lastig voor de gemiddelde gebruiker. Ik voeg zelf de benodigde rules voor de banken toe waar ik zaken mee doe. Dat zie ik de gemiddelde gebruiker ook niet doen. En als er een certificaat verloopt of vervangen wordt, dan raakt iedereen in paniek...

EMET moet je in de huidige vorm zien als een tool voor de technisch onderlegde computer gebruikers. Bepaalde technieken zullen hun weg vinden in toekomstige versies van het Windows OS, andere mogelijk in 'end point protection' software (zoals virusscanners) en weer andere blijven voorbehouden aan tools zoals EMET.

Radiodurans

15 maart 2015 11:46

Eerdere versies van EMET draaiden nooit op mijn Windows 10 installatie. Ik weet niet sinds welke versie het wel kan maar deze 5.2 draait prima op Windows 10 Pro Technical Preview Build 9926 $_/-\o_$

/edit
Kleine correctie: IE crasht continue met EMET. Na deïnstallatie van EMET werkt het IE weer.

[Reactie gewijzigd door Radiodurans op 24 juli 2024 07:47]

Glashelder

@Radiodurans • 16 maart 2015 08:06

Dan zoek je toch gewoon even uit waardoor? Kan een plug-in zijn of een bepaalde mitigation (die vind je waarschijnlijk vrij snel als je even googled). Kan ook zijn dat andere beveiligingssoftware dwars zit.

EMET en MalwareBytes Anti-Exploit is bijv. een goed recept voor een drama

desalniettemin @Glashelder • 16 maart 2015 16:33

Dus als MalwareBytes Anti-Exploit al geinstalleerd hebt, dan mag je EMET niet gebruiken?

Glashelder

@desalniettemin • 16 maart 2015 17:30

Van mij mag je.. Maar bij mij had dat als resultaat dat vrijwel elke applicatie crashte..

photofreak @Glashelder • 18 maart 2015 22:58

Het heeft weinig zin om beide tools naast elkaar te draaien. Beide beschikken over ongeveer dezelfde mitigations en hebben ongeveer dezelfde beperkingen.

Beelzebassie @Radiodurans • 19 maart 2015 12:26

MS heeft een update uitgebracht van EMET 5.2 ivm compatibiliteitsproblemen met IE.

desalniettemin 15 maart 2015 13:55

Heb EMET ook een tijdje gebruikt, maar sinds de laatste versie, de 5.0 dacht ik, kreeg ik steeds de melding dat een certificaat van outlook.com niet geldig was. Knettergek werd je van die melding de hele tijd, dus sindsdien gebruik ik het niet meer. Hoe op te lossen

@Beelzebassie: En dat is voor een leek zoals ik niet te begrijpen.

[Reactie gewijzigd door desalniettemin op 24 juli 2024 07:47]

Rudie_V @desalniettemin • 16 maart 2015 12:56

Zoals hierboven ook al aangegeven moet het met certificate pinning te maken hebben gehad. Ik kan zo niet zeggen wat er precies bij jou fout ging, maar in plaats van EMET te verwijderen had je ook gewoon de website in EMET uit kunnen vinken. Als je naar outlook.com gaat wordt je doorverwezen naar login.live.com, dus deze site moet je dan uitvinken.
Als je EMET opent heb je bovenin bij configuration een icoontje Trust, klik hier op waarna je een nieuw venster krijgt met de Certificate Trust Configuration. Hierin zie je de website login.live.com welke je uit kan vinken. Als je deze uit vinkt en daarna op Ok klikt heb je de certificaat controle voor deze site uit gezet. Hierna zou je de meldingen niet meer moeten krijgen.

Overigens is het wel vreemd dat je de melding kreeg, want het zou eigenlijk niet moeten. Mocht je EMET wel weer willen gebruiken zou ik deze nieuwe versie gewoon weer proberen. En kreeg je alleen een EMET melding of gaf je browser ook een fout op het certificaat?

desalniettemin @Rudie_V • 16 maart 2015 16:16

Alleen EMET volgens mij. Browser dat weet ik niet meer. In ieder geval bedankt voor de uitleg

[Reactie gewijzigd door desalniettemin op 24 juli 2024 07:47]

PolarBear @desalniettemin • 16 maart 2015 07:33

Klinkt als certificate pinning. Of je gebruikte niet de laatste versie of er is iets mis met je pc. Maar ja deinstalleeren is makkelijker.

Terrestrial 15 maart 2015 12:02

Ik heb EMET ook al jaren op mijn PC staan maar of het extra beschermd en echt wat toevoegt. (?) Je hebt er in ieder geval geen last van en geen omkijken naar dus het zal wel doen wat het moet doen.

mrtnptrs 15 maart 2015 14:21

Bovenstaande veranderingen zijn van de vorige versie! Hier kun je het changelog vinden van de laatste versie: http://blogs.technet.com/...met-5-2-is-available.aspx

Oftewel:

Control Flow Guard: EMET’s native DLLs have been compiled with Control Flow Guard (CFG). CFG is a new feature introduced in Visual Studio 2015 (and supported by Windows 8.1 and Windows 10) that helps detect and stop attempts of code hijacking. EMET native DLLs (i.e. EMET.DLL) are injected into the application process EMET protects. Since we strongly encourage 3rd party developers to recompile their application to take advantage of this very latest security technology, we have compiled EMET with CFG. More information on CFG are available at this Visual C++ Team blog entry.
VBScript in Attack Surface Reduction: the configuration for the Attack Surface Reduction (ASR) mitigation has been improved to stop attempts to run the VBScript extension when loaded in the Internet Explorer's Internet Zone. This would mitigate the exploitation technique known as “VBScript God Mode” observed in recent attacks.
Enhanced Protected Mode/Modern IE: EMET now fully supports alerting and reporting from Modern Internet Explorer, or Desktop IE with Enhanced Protected Mode mode enabled.

sambalbaj 15 maart 2015 17:37

Prima stukje beveiliging van MS wat eigenlijk nog veel te onbekend is. Snap ook niet dat ze updates hiervan niet via Windows Update doen.

Rudie_V 15 maart 2015 23:10

Blijkbaar nog steeds het probleem dat als EAF+ aangevinkt staat voor internet explorer, iexplore.exe, dat het openen van een nieuwe tab langer duurt. Als ik EAF+ uitvinkt dan werkt het weer normaal.

Op dit item kan niet meer gereageerd worden.

Versienummer	5.2
Releasestatus	Final
Besturingssystemen	Windows 7, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8
Website	Microsoft
Download	http://download.microsoft.com/download/7/0/A/70AF5150-10DD-4838-ACFC-C4390B05620A/EMET%205.2%20Setup.msi
Bestandsgrootte	10,91MB
Licentietype	Freeware

08-'16	Enhanced Mitigation Experience Toolkit 5.51	7
02-'16	Enhanced Mitigation Experience Toolkit 5.5	11
10-'15	Enhanced Mitigation Experience Toolkit 5.5 bèta	9
03-'15	Enhanced Mitigation Experience Toolkit 5.2	23
11-'14	Enhanced Mitigation Experience Toolkit 5.1	4

Software-update: Enhanced Mitigation Experience Toolkit 5.2

Update-historie

Lees meer

Reacties (23)

Sorteer op:

Weergave: