EMET - Enhanced Mitigation Experience Toolkit

[zord]

Dostępna jest nowa wersja EMET 5.0 Technical Preview 2 dostępna tylko po zalogowaniu się w serwisie Microsoft Connect.

Jeśli ktoś nie ma konta może pobrać tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[buri]

Jest jakaś lista zmian? Link mi nie działa @zord.

[zord]

Nie widzę nigdzie listy zmian. Dodałem link na sendspace i zippy.

[buri]

Dzięki @zord trza zobaczyć czy już dobrze chodzi i nie sprawia problemów.

[zord]

Nadal brak kompatybilności z własnymi programami.

[Aby zobaczyć linki, zarejestruj się tutaj]

Można samemu ręcznie ustawić tak żeby WMP się nie wywalał ale chyba nie o to chodzi...

[buri]

@zord w jakiej sytuacji występuje u Ciebie ten błąd? Dodałem WMP we EMET ale odpala mi się normalnie, a chciałem sprawdzić czy u mnie występuje to samo.

[zord]

Normalnie przy uruchomieniu, z tym że ja ręcznie nie dodawałem tylko zaimportowałem plik z regułami dla najpopularniejszych programów który jest dostarczany razem z EMETem.

[buri]

Nie uruchamiałem kompa ponownie, ale patrzyłem z tymi regułami i u mnie działał normalnie. Jeszcze będę testował i zobaczymy czy coś wyjdzie.

Dzięki za info z listą, bo nawet nie zauważyłem, że są jakieś gotowce


Masz rację WMP się wywala przy odtwarzaniu filmów, nie korzystam z niego więc mi to nie przeszkadza.

[zord]

Dostępne jest nowe wydanie testowe programu EMET 5.0

EMET 5.0 Technical Preview 3

Today we are making available the third release of our EMET 5.0 Technical Preview program. It is available for download in the program''s Downloads section.

As we are getting closer to our goals for EMET 5.0 release, your feedback is increasingly relevant to our progress. We would like to thank you for your participation in this program and we look forward to addressing any comments you might provide during the development process.

- The EMET Team


EMET 5.0 Technical Preview 3 Release Notes

1. Added UI elements to Application Configuration dialog of EMET_GUI to allow detailed configuration for each mitigation that supports additional settings (e.g. EAF, ASR):





EMET Application Configuration Dialog

2. Changed the way EMET handles SEHOP IFEO entries. This fixed an issue where, in certain scenarios, EMET would not properly configure an application to work with the operating system''s implementation of SEHOP.

3. Added the status of global application settings (AntiDetours, DeepHooks, etc.) to the output of EMET_Conf, as well as to the Windows Event Logs.

4. Internal code cleaning and refactoring, including upgrading to the latest versions of MSDIS and DETOURS libraries (you might notice a slight increase in binary sizes).

5. Additional hardening for EAF/EAF+ mitigations by adding protection against breakpoint removal. This is still work in progress, further improvements will come in future releases.

6. Numerous other small fixes and improvements addressing application compatibility issues.

Program można pobrać w witrynie Microsoft Connect

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli ktoś nie posiada konta może pobrać tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

EMET 5.0 RTM wydany

Announcing EMET 5.0
SRD Blog Author SRD Blog Author
31 Jul 2014 10:14 AM



Today, we are excited to announce the general availability of the Enhanced Mitigation Experience Toolkit (EMET) 5.0. As many of you already know, EMET is a free tool, designed to help customers with their defense in depth strategies against cyberattacks, by helping detect and block exploitation techniques that are commonly used to exploit memory corruption vulnerabilities. EMET 5.0 further helps to protect with two new mitigations and several other improvements. You can download EMET 5.0 from the Microsoft Download Center.

Let’s start with the two new mitigations, which we initially introduced in EMET 5.0 Technical Preview: the Attack Surface Reduction (ASR), and the Export Address Table Filtering Plus (EAF+). We already described details about these two new mitigations in the Technical Preview announcement blog post, but let’s talk briefly about the improvements made during the preview period.
Attack Surface Reduction (ASR)

The ASR is a mechanism to block the usage of a specific modules or plug-ins within an application. For example, you can configure EMET 5.0 to prevent Microsoft Word from loading the Adobe Flash Player plug-in, or, with the support of security zones, you can use EMET 5.0 to prevent Internet Explorer from loading the Java plug-in on an Internet Zone website while continuing to allow Java on Intranet Zone websites.

During the preview period we have performed several tests and collected your feedback to finalize the default configuration for this mitigation. We aimed at having a configuration that provided security, and at the same time, did not limit the user experience with the applications protected by EMET 5.0. By default, EMET 5.0 is configured to block some modules and plug-ins from being loaded by Internet Explorer while navigating to websites belonging to the Internet Zone, and to also block the Adobe Flash plug-in from being loaded by Microsoft Word, Excel, and PowerPoint. We have chosen modules that are commonly used in certain exploitation scenarios, but like all EMET features and mitigations, the ASR is completely configurable to satisfy everybody’s needs and to be tailored to specific systems’ requirements.

[Aby zobaczyć linki, zarejestruj się tutaj]

Internet Explorer ASR default configuration

Export Address Table Filtering Plus (EAF+)

The EAF+ starts by the same concept as the existing Export Address Table Filtering (EAF) mitigation, but it amplifies its scope and robustness. During the Technical Preview, we have presented the EAF+ as an extension to the EAF. During the last couple of months we have made several improvements to it, and we decided that it should be a new mitigation on its own.

As already mentioned in the Technical Preview blog post, when EAF+ is enabled it adds the following additional safeguards:

Perform additional integrity checks on stack registers and stack limits when export tables are read from certain lower-level modules
Prevent memory read operations on the PE header, sections, import/export table pointers of selected modules when they originate from suspicious code that may reveal memory corruption bugs used as “read primitives” for memory probing

These improvements help detect and disrupt some current techniques used to dynamically discover ROP (Return Oriented Programming) gadgets and reliably execute code when a vulnerability is exploited.
Additional improvements

EMET 5.0 introduces many other improvements. Let’s go through them and see what customer benefits they add.
64-bit Return Oriented Processing (ROP) mitigations

Many ROP mitigations are now available also for 64-bit processes: Deep Hooks, Stack Pivot, Load Library, and MemProt. Although we have not yet detected exploits that use ROP techniques to exploit 64-bit applications, we decided to extend the anti-ROP mitigations to this architecture to be ready when the time comes.
Strict checks for Certificate Trust rules

The Certificate Trust’s pinning rules can now be configured with a more aggressive “blocking” mode (not enabled by default), so that EMET 5.0 can force Internet Explorer to terminate the SSL connection without sending session data instead of just detecting the untrusted certificate.

[Aby zobaczyć linki, zarejestruj się tutaj]

Certificate Trust Blocking Rule option

EMET Service

We have added a new service, called EMET Service, which is taking in charge many duties that EMET Agent used to do in previous versions. The EMET Service, among other things, takes care of evaluating the Certificate Trust rules, appropriately dispatching EMET Agents in every user’s instance, and automatically applying Group Policy settings pushed through the network. Also, a service offers more resiliency and better ability to being monitored.
Hardening and better application compatibility

We have seen a technique to potentially bypass some of the EMET 4 mitigations. This technique is possible when a memory corruption within an EMET-protected application can be abused to overwrite selected memory areas and corrupt data belonging to EMET itself. We have also seen techniques aiming at disabling the EAF mitigation by invoking some specific API calls. In EMET 5.0 we worked to harden against potential bypass techniques.

We also refactored many components of the EMET 5.0 engine, in order to maximize application compatibility, also with some popular anti-malware products, and reduce potential false-positives.

We have done a lot of work to bring EMET 5.0 to life, and we want to thank all those who provided feedback during the Technical Preview time frame, either through <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> or through the EMET Connect Portal (which we’ll continue to use). Your feedback helped to create a great version of EMET. Now, we are giving you back the product that you helped us build. We invite you then to download EMET 5.0, install it, and let us know what you think.

The EMET Team:

Adam Zabrocki, Andy Renk, Chengyun Chu, Cristian Craioveanu, Elia Florio, Elias Bachaalany, Gerardo Di Giacomo, Neil Sikka

Pobieranie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Bardzo proszę, by ktoś kto już zainstalował stabilna wersję, podał dane odnośnie zużycia zasobów. Zmiany są spore i widoczne...ciekaw jestem też więc, jak wypadnie w testach , zwłaszcza tych penetracyjnych na własne podatności.

[zbc]

Bardzo proszę, by ktoś kto już zainstalował stabilna wersję, podał dane odnośnie zużycia zasobów. Zmiany są spore i widoczne...ciekaw jestem też więc, jak wypadnie w testach , zwłaszcza tych penetracyjnych na własne podatności.

Ja napewno nie, po tym co mi EMET zrobił (dezistalacja nie pomogła).

[zord]

Program jest leciutki:

[Aby zobaczyć linki, zarejestruj się tutaj]

Agenta w sumie wyłączyć można tyle tylko że nie dostaniemy powiadomienia jak coś będzie się działo.

[Konto usunięte]

Przestawiłem ostatnio na max. i niby grało, a jednak były problemy i to dziwne.
Zauważyłem je w Xnview, aplikacji do katalogowania plików graficznych i ich edytowania (coś jak IrfanView jeśli ktoś nie kojarzy). Czym problemy się objawiały? Robiłem zapis, zapisywało... ale pliki bywały uszkodzone.

[buri]

Hahaha tyle w temacie. Miałem 3 wersje w "dodaj/usuń" więc postanowiłem usnąć wszystkie i na czysto wgrać EMET 5.0. Usunąłem, zainstalowałem, wgrałem kopię moich ustawień i EMET co chwila zabija aplikacje z powodu EAF, nawet skydrive nie może się odpalić. Kurde smutne to jest bo tak ładnie działał, widać święta zasada jak działa to lepiej nie dotykać

Chyba cała ochrona EAF głupieje i blokuje mi wszystko. Wyłączyłem to dla wszystkich aplikacji bo nie da się korzystać.

[Konto usunięte]

Wersja 3 a 5 to duże różnice. Nie ma sensu sie bawić w import ustawień.

Wysłane z telefonu

[buri]

Wersja 3 a 5 to duże różnice. Nie ma sensu sie bawić w import ustawień.

Wysłane z telefonu

Nie był to przeskok z 3 na 5. Miałem 2 wersje preview piątej wersji jeszcze na kompie. Musi mi coś wariować EAT i tyle, wyłączyłem go wszędzie i mam spokój.

[Miquell]

Wrzuciłem finalną 5-tkę do testów. Ustawienia na max, standardowa lista aplikacji i parę dodanych ode mnie.
Jak na razie EMET spisuje się bardzo dobrze, użycie pamięci maksymalnie do 20MB, z czego większość (ok. 14 MB) rezerwuje oczywiście Agent.

[Miquell]

EMET u mnie wyraźnie nie lubi się ze SpyShelterem. SS działa w tle, ale EMET skutecznie blokuje np. uruchomienie przeglądarek.
Tak się zastanawiam, czy jedynym sensownym wyjściem jest obniżenie poziomu ochrony EMET-a z maksymalnego na domyślny?

[Konto usunięte]

Spróbować nie zaszkodzi ;-)

Wysłane z telefonu