8:55
14/9/2010

EMET (ang. Enhanced Mitigation Experience Toolkit) to darmowy program autorstwa Microsoftu, który pozwala podnieść bezpieczeństwo danej aplikacji poprzez nałożenie na nią “ograniczeń” takich jak m.in. DEP czy ASLR. Jednym słowem, EMET utrudnia życie exploitom i zdecydowanie warto bliżej mu się przyjrzeć.

EMET

EMET posiada wygodny interface graficzny do modyfikacji ustawień bezpieczeństwa per aplikacja. EMET zadziała nawet wtedy, gdy twórcy danego programu nie dostosowali go do obsługi takich zabezpieczeń jak DEP czy ASLR (które służą głównie ochronie przed exploitami).

Interface EMET-a

EMET jest w stanie włączyć per aplikacja następujące zabezpieczenia:

  • Dynamic DEP (DDEP)
    Blokada wykonywania danych poprzez oznaczenie odpowiednich fragmentów pamięci.
  • Address Space Layout Randomization (ASLR)
    Losowanie adresu pod którym umieszczone zostaną dane.
  • Structured Exception Handler Overwrite Protection (SEHOP)
    Blokada nadpisania nagłówka Structured Exception Handler (SEH) m.in. na stosie.
  • Export Address Table Access Filtering
    Blokada wykonania shellcodu poprzez “zepsucie” dostępu do API
  • Heap Spray Allocation / Null Page Allocation
    Blokada często używanych w exploitach adresów, pod którymi rozpraszany jest shellcode

Microsoft udostępnił podręcznik dla EMET-a oraz instruktażowe video.

Co ciekawe, Microsoft poleca wykorzystanie EMET-a jako środka zabezpieczającego komputer przed niedawno opisywanymi przez nas 0day’owymi exploitami PDF na Acrobat Readera… :-)

Przeczytaj także:



27 komentarzy

Dodaj komentarz
  1. Broken link EMET (http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409)

  2. Cały Microsoft, jak zrobią dobre narzędzie, to spieprzą do niego link… (ten w poście pochodzi z oficjalnego wpisu MS) ;-)

  3. A to ciekawy pomysł ;)
    Chociaż zastanawiam się jak działa (tzn czy w ogóle działa) narzucenie ASLR i DEP na aplikacje które “nie są dostosowane do obsługi takich zabezpieczeń”.
    Hmm, powiedzmy, że ponowne stworzenie tablicy relokacji (ASLR) jest technicznie trudne (że posłuże się niedopowiedzeniem).
    Z DEP sprawa odrobinę łatwiejsza – można podczas ‘test run’ sprawdzić które fragmenty pamięci sa używane do wykonania kodu podczas gdy nie posiadają do tego uprawnień (PAGE_…_EXECUTE), a potem dać tym stronom te uprawnienia.

    Podsumowując, thx za newsa, warte zobaczenia od strony technicznej imo :)

  4. To teraz niech mi ktoś powie, czy jak to ściągnę, zainstaluję, narzucę większości aplikacji te ograniczenia to będę bezpieczny czy ‘bezpieczny’ ? Szanse na atak jakiegoś exploita spadną do zera czy będę miał tylko spokojne sumienie i pośpię w nocy ? ;]

  5. @Torwald: Żadne zabezpieczenie nie zagwarantuje Ci 100% pewności. Dlatego stosuje się rozwiązania warstwowe. Wspomniana aplikacja to po prostu dodatkowa warstwa, która zmniejsza prawdopodobieństwo udanego ataku.

  6. Hmm, pomysł jest dobry, ale ustawić to na wszystkie aplikacje jakie mam, do tego zabezpieczyć, nie okaleczając funkcjonalności… Może jakieś szablony? ;)

  7. Dla tych co im strona EMETa nie dziala jest link do installera na softpedii:
    http://www.softpedia.com/get/Security/Security-Related/Enhanced-Mitigation-Experience-Toolkit.shtml

  8. pytanie:

    na ile trzeba spowolnić działanie aplikacji jej zabezpieczeniami aby była w pełni bezpieczna!?

    to jest WTF!

  9. z tego co widze, to skype sie crachuje na maximum security, chyba nie dziala z wlaczonym depem

    • shark: No niestety, nie zawsze dana aplikacja po nałożeniu ograniczeń będzie działała poprawnie…

  10. “ICH” wyszukiwarka nie, bo “UNE” uwazaja, ze zgodnie z nazwa: widok przez okna ma byc w dwie strony ;)
    za to, jak sie wpisze w Gugla: Enhanced Mitigation Experience Toolkit microsoft.com, to wywala bez problemu ;)

  11. naprawili link

  12. […] Obecnie użytkownicy systemów Windows mają dwie opcje. Albo zrezygnować z wykorzystywania Adobe Readera do obsługi plików PDF (Foxit Reader jest jakąś alternatywą), albo nałożyć nań zabezpieczenia za pomocą darmowego, microsoftowego narzędzia EMET. […]

  13. […] Microsoft zablogował o błędzie i poleca skorzystanie z EMET-a do jego […]

  14. Jak można być na tyle naiwnym, żeby sądzić, ze ktoś kto używa internet explorera ma jakąkolwiek świadomość swojego braku bezpieczeństwa w sieci i na tyle wiedzy aby EMET’em w ogole sie zainteresować.

    To tak, jakby używanie odkurzacza wymagało wiedzy z zakresu fizyki molekularnej.

  15. […] Narzędzie zostało udostępnione podczas dopiero co rozpoczętej konferencji BlackHat. Oprócz Attack Surface Analyzera polecam Wam również zapoznanie się z innym darmowe narzędziem Microsoftu służącym do “uszczelniania” systemu Windows: EMET-em. […]

  16. […] Skonfigurować IE by używało Enhanced Mitigation Experience Toolkit (EMET). EMET to darmowe narzędzie, które ma utrudniać działanie exploita wymuszając mechanizmy takie jak np. data execution […]

  17. […] 2.01.2013 Microsoft wydał narzędzie Fix it! łatające dziurę. Alternatywą jest użycie EMET-a. […]

  18. […] skutkami exploitacji ochronia także EMET — polecamy jego instalację nie tylko z powodu tego błędu, zwłaszcza, że może on być […]

  19. EMET 4.0 chroni także przed podszyciem pod certyfikaty SSL w atakach Man In The Middle
    http://technet.microsoft.com/en-us/security/jj653751

  20. […] Dobrym pomysłem dla tych, którzy chcą się zabezpieczyć przed tym i innymi exploitami będzie także instalacja EMET-a. […]

  21. […] jeszcze nie ma, ale przed atakami ma chronić EMET, czyli microsoftowe narzędzie “utwardzające”, w najnowszej […]

  22. wersja 5.1
    http://www.microsoft.com/en-us/download/details.aspx?id=43714

  23. Link do “podręcznik dla EMET-a” nie działa. W kontekście tego co powiedział Piotrek “Cały Microsoft, jak zrobią dobre narzędzie, to spieprzą do niego link…” to największym mistrzostwem jest to, że w mojej wersji emeta na kompie (5.5.5871.31892), gdy wchodzę w Help > User guide… to widzę “Error – Unable to find Users Guide” :D Link do screena: http://2.1m.yt/1KyI5AE.png :)

  24. Proponuję podać jednak link od Microsoftu bo zewnętrzne strony często mają albo przestarzałe wersje albo napchane są adware

    https://www.microsoft.com/en-us/download/details.aspx?id=54264

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: