Emet: Общие положения о снижении рисков с помощью набора средств EMET

Общие положения о снижении рисков с помощью набора средств EMET

Аннотация

Набор средств EMET — это служебная программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении. Это достигается благодаря использованию технологий снижения рисков. Эти технологии являются специальными средствами защиты и препятствиями, которые разработчик эксплойта должен обойти, чтобы воспользоваться уязвимостями в программном обеспечении. Использование технологий снижения рисков не гарантирует, что злоумышленники не смогут эксплуатировать уязвимости, однако максимально усложняет достижение этой цели. Подробнее о служебной программе EMET см. в следующей статье базы знаний Майкрософт:

2458544 Набор средств EMET Когда к определенным программам применяются технологии снижения рисков EMET, могут возникнуть проблемы совместимости, так как поведение защищенного программного обеспечения иногда совпадает с поведением эксплойта. В этой статье описано программное обеспечение и список продуктов, для которых характерны проблемы совместимости с одной или несколькими технологиями EMET.

Дополнительная информация

Общие указания

Технологии снижения рисков EMET функционируют на нижнем уровне операционной системы. Поэтому могут возникнуть проблемы совместимости с теми программами, которые выполняют похожие операции на том же уровне, если они защищены с помощью EMET. Ниже приводится список программ, для которых не следует использовать набор средств EMET.

• Программное обеспечение, предназначенное для защиты от вредоносных программ, предотвращения и обнаружения вторжений

• org/ListItem»>

  Отладчики

• Программное обеспечение, использующее технологии управления цифровыми правами (DRM) (например, видеоигры)

• Программное обеспечение, использующее технологии обфускации, антиотладки и перехвата

В некоторых случаях приложения системы предотвращения вторжений на узел (HIPS) могут предоставлять ту же защиту, что и EMET. Когда эти приложения устанавливаются в систему вместе с EMET, чтобы эти два продукта использовались совместно, могут понадобиться дополнительные настройки.

Кроме того, служебная программа EMET предназначена для работы с классическими приложениями, и защищать следует только те приложения, которые получают или обрабатывают данные из ненадежных источников.

Кроме того, EMET не предназначена для работы с системными и сетевыми службами. Технически их возможно защитить с помощью EMET, но мы не рекомендуем это делать.

Список случаев несовместимости с приложениями

Ниже приведен список продуктов, проявивших несовместимость с технологиями снижения рисков, предоставляемыми EMET. Вам понадобится отключить определенные технологии EMET, если вы хотите защитить продукт с помощью этой служебной программы. Обратите внимание, что при составлении списка учитывались параметры последней версии продукта по умолчанию. Проблемы совместимости могут возникнуть при установке определенных надстроек или дополнительных компонентов для стандартного программного обеспечения.

Несовместимые технологии снижения рисков

Продукт	EMET 4. 1 с обновлением 1	EMET 5.0
Диспетчер консоли 7-Zip, GUI или файлов	EAF	EAF
Adobe Acrobat	Неприменимо	EAF+ (AcroRd32.dll)
Adobe Reader	Неприменимо	EAF+ (AcroRd32. dll)
Некоторые видеодрайверы AMD/ATI	ASLR = AlwaysOn	ASLR = AlwaysOn
DropBox	EAF	EAF
Google Chrome	SEHOP*	SEHOP*
Google Talk	DEP, SEHOP*	DEP, SEHOP*
Immidio Flex+	Неприменимо	EAF
Веб-компоненты Microsoft Office	System DEP=AlwaysOn	System DEP=AlwaysOn
Microsoft Word	Headspray	Неприменимо
Oracle Java	Heapspray	Heapspray
Skype	EAF	EAF
SolarWinds Syslogd Manager	EAF	EAF
VLC Player 2. 1.3+	SimExecFlow	Неприменимо
Проигрыватель Windows Media	MandatoryASLR, EAF, SEHOP*	MandatoryASLR, EAF, SEHOP*
Фотоальбом Windows	Caller	Caller

* Только для Windows Vista и более ранних версий

В этой статье упомянуты программные продукты сторонних производителей.

Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

EMET v4 Release / Хабр

esetnod32 24 июн 2013 в 16:05

Время на прочтение 5 мин

Количество просмотров 26K

Блог компании ESET NOD32 Информационная безопасность *

На прошлой неделе бета-версия тулкита EMET v4 вышла в релиз. Мы уже писали о некоторых новых возможностях 4-й версии и хотели бы остановиться более подробно на самом релизе, поскольку этот инструмент действительно заслуживает внимания. Повторимся, что Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак, которые имеют целью эксплуатирование flaws (или уязвимостей) в ПО и изменение потока выполнения кода. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR по-умолчанию, например, для устаревшей Windows XP.

В нашем посте мы хотим представить обзор основных возможностей четвертой версии EMET, которые помогают защититься от эксплойтов.

Прежде чем рассматривать основные особенности этого инструмента, проясним несколько моментов:

• EMET не является заменой антивируса или HIPS, поскольку не имеет функционала таких средств: не содержит баз сигнатур или специальных поведенческих шаблонов угроз.
• EMET не является заменой песочнице (sandbox), поскольку не предназначен для этого и не способен эмулировать действия приложения.
• EMET не является 100% системой защиты от эксплойтов, поскольку, по сути, ориентирован на отслеживание уже известных способов эксплуатации и не сможет помочь против методов эксплуатирования, которые ему неизвестны.
• EMET ориентирован на продвинутых пользователей, которые умеют задавать соответствующие системные настройки и реагировать на поступающие сообщения.
• EMET является бесплатным в использовании.

Главное окно EMET.

С точки зрения защиты от эксплойтов инструмент имеет два типа настроек: для системы в целом, т. е. общее правило для всех приложений в системе (System Status) и для конкретных приложений (Configure Applications). Настройки для системы включают в себя четыре главных пункта:

• Data Execution Prevention (DEP) — определяет для каких приложений следует использовать DEP.
• Structured Exception Handler Overwrite Protection (SEHOP) — определяет для каких приложений следует использовать технику защиты обработчиков SEH от перезаписи. Модификация обработчиков SEH в моде у эксплойтов уже давно. SEHOP был введен на уровне системы уже с Vista SP1.
• Address Space Layout Randmization (ASLR) — определяет для каких приложений следует использовать ASLR.
• Certificate Trust (Pinning) — функция доступна только для Internet Explorer и позволяет вручную создавать правила проверки цифровых сертификатов SSL/TLS соединений при посещении конкретных веб-ресурсов.

Расшифровку настроек DEP, ASLR, SEHOP см. здесь.
Инструмент поддерживает встроенные профили защиты для быстрой настройки:

• Maximum Security Settings — опция включает все системные настройки на максимальный уровень.
• Recommended Security Settings — опция включает системные настройки до «рекомендуемого уровня». В отличие от Maximum Security Settings, понижает статус DEP и SEHOP до App Opt In, т. е. включая эти настройки (по-умолчанию) только для ключевых системных процессов.

Проверить статус процессов с включенным DEP, ASLR вы можете, например, с помощью Process Explorer, задав в настройках отображение соответствующих столбцов. View->Select Columns->DEP Status, ASLR Enabled.

EMET позволяет защитить приложение, в том числе, от следующих весьма известных методов, которыми пользуются эксплойты:

• ROP — давно известный и широко применяемый эксплойтами метод, позволяющий через специальные «кодовые гаджеты» на стеке добиться исполнения требуемой последовательности кода, обходя т. о. DEP.
• SEH overwrite — блоки SEH (следующий, адрес обработчика) расположены на стеке и могут быть перезаписаны, например, как часть buffer overflow; соответственно, злоумышленники могут воспользоваться этой уязвимостью для передачи управления на свой код через обработчик исключения.
• Stack pivoting — метод, применяемый для перемещения регистра стека ESP на нужный для эксплойта адрес.
• Heapspray — эксплойты пользуются этим методом для выделения большого количества участков памяти с размещением там кода эксплойта, что увеличивает вероятность передачи управления на код, необходимый атакующему.

EMET группирует эти методы, относя некоторые из них к определенной группе. Ниже представлен скриншот настроек для процессов, в котором видно каким образом сгруппированы способы смягчения и используемые эксплойтами методы.

На этом скриншоте показаны настройки, относящиеся непосредственно к памяти.

• DEP — реализуется за счет вызова kernel32!SetProcessDEPPolicy в контексте контролируемого EMET процесса.
• BottomUpASLR — в некотором роде представляет собой ASLR для выделяемых регионов памяти на стеке и в куче (по мере выделения памяти и в старших адресах).
• NullPage — см. MS13-031.
• MandatoryASLR — принудительно включает ASLR для динамически загружаемых библиотек процесса, т. о. делая непредсказуемым адреса их загрузки. Реализуется за счет перехвата функции ntdll!NtMapViewOfSection.
• HeapSpray — позволяет фиксировать попытки операций heapspraying за счет резервирования памяти кучи.

• LoadLib — отслеживание операций LoadLibrary с целью предотвращения загрузки библиотеки в память по пути UNC, например, \\server1\share.dll
• MemProt — запрет изменения статуса страниц стека на executable.
• Caller — также относится к ROP и позволяет наблюдать за тем, с помощью какой инструкции была вызвана API, т. е. контроль за тем, чтобы функция была вызвана с помощью call, а не ret, что широко применяется в эксплойтах.
• SimExecFlow — позволяет обнаруживать ROP-гаджеты после вызова контролируемой EMET функции.
• StackPivot — позволяет обнаруживать ситуации stack pivoting.

• SEHOP — отслеживает попытки эксплуатирования обработчиков SEH. На самом деле такая возможность введена в самой ОС, начиная с Vista SP1. EMET позволяет использовать такую возможность и на системах ниже Vista SP1.
• EAF (Export Address Table Access Filtering) — запрещает какие-либо операции обращения к странице памяти, на которой расположена таблица экспорта модуля, в зависимости от кода, который пытается получить к ней доступ. Т. е. разрешает к ней доступ только для кода, который принадлежит известному загруженному модулю. Используется эксплойтами (и не только) при ручном разборе таблицы экспорта модуля с целью получения адреса нужной функции.

Для выполнения всех этих операций EMET использует хорошо нам знакомый метод inline code patching, который наглядно представлен на скриншоте ниже (процесс, находящийся под контролем EMET).

EMET имеет дополнительные расширенные возможности для приложений, которые доступны из Application Configuration.

• Deep Hooks — для защиты критических API EMET будет не только перехватывать сами эти функции, но и те функции (другие API), которые из них будут вызываться.
• Anti Detours — блокирует действия эксплойтов, которые пропускают первые байты API (обычно пролог) и передают управление на инструкции, следующие за ними.
• Banned Functions — запрещает вызов API-функций из специального списка. В 4-й версии в этом списке присутствует только функция ntdll!LdrHotPatchRoutine.

Задайте действие, которое будет выполнять EMET по возникновению одного из условий эксплуатации. Возможные варианты: Stop on exploit (блокирование действия с отображением специального сообщения и завершением процесса) и Audit only (уведомление о действии).

Что следует защищать EMET?

Обратите внимание, что EMET имеет список процессов, для которых он будет включен по-умолчанию. В эти процессы входят: веб-браузер MS Internet Explorer, Adobe Acrobat, Java, MS Office. Список процессов Вы можете увидеть в окне Apps.
Мы выделяем следующие особенности касательно защиты приложений с использованием EMET:

• Рассмотрите возможность включения EMET для процессов Skype (или другой мессенжер, которым вы пользуетесь), а также вашего браузера. Поскольку эти компоненты могут быть эксплуатированы удаленно.
• Заметьте, что EMET не является полностью совместимым со всеми приложениями, не говоря уже об отладчиках и прочих системных инструментах. Поэтому, если вы являетесь администратором, не включайте EMET сразу для всех вам необходимых процессах в сети, лучше протестируйте совместимость с этими приложениями отдельно.
• Список возможных несовместимостей и их обсуждение см. здесь.

Список несовместимостей механизмов EMET с различными приложениями.

Руководство Microsoft по EMET [PDF] здесь.
Презентация EMET на RECon’13 от одного из разработчиков здесь.

Теги:

• EMET

Хабы:

• Блог компании ESET NOD32
• Информационная безопасность

Руководство по смягчению последствий

EMET — служба поддержки Майкрософт

Инструменты разработчика Больше…Меньше

Резюме

Enhanced Mitigation Experience Toolkit (EMET) — это утилита, помогающая предотвратить успешное использование уязвимостей в программном обеспечении. EMET достигает этой цели, используя технологии снижения безопасности. Эти технологии функционируют как специальные средства защиты и препятствия, которые автор эксплойта должен преодолеть, чтобы использовать уязвимости программного обеспечения. Эти технологии снижения безопасности не гарантируют невозможность использования уязвимостей. Тем не менее, они работают, чтобы максимально затруднить эксплуатацию. Для получения дополнительных сведений о EMET щелкните следующий номер статьи базы знаний Майкрософт:

2458544 Набор инструментов Enhanced Mitigation Experience Toolkit Когда меры EMET применяются к определенному программному обеспечению или определенным видам программного обеспечения, могут возникнуть проблемы совместимости, поскольку защищенное программное обеспечение ведет себя так же, как эксплойт. В этой статье описывается тип программного обеспечения, которое обычно вызывает проблемы совместимости с решениями EMET, и список продуктов, в которых обнаружены проблемы совместимости с одним или несколькими способами устранения, предлагаемыми EMET.

Дополнительная информация

Общие рекомендации

Средства защиты

EMET работают на очень низком уровне в операционной системе, и некоторые виды программного обеспечения, выполняющие аналогичные низкоуровневые операции, могут иметь проблемы совместимости, если они настроены на защиту с помощью EMET. Ниже приведен список видов программного обеспечения, которые не следует защищать с помощью EMET:

• Программное обеспечение для защиты от вредоносных программ и предотвращения или обнаружения вторжений

• org/ListItem»>

  Отладчики

• Программное обеспечение, использующее технологии управления цифровыми правами (DRM) (то есть видеоигры)

• Программное обеспечение, использующее технологии защиты от отладки, обфускации или перехвата данных

Некоторые приложения системы предотвращения вторжений на основе хоста (HIPS) могут обеспечивать защиту, аналогичную защите EMET. Когда эти приложения устанавливаются в системе вместе с EMET, может потребоваться дополнительная настройка, чтобы обеспечить сосуществование двух продуктов.

Кроме того, EMET предназначен для совместной работы с настольными приложениями, поэтому следует защищать только те приложения, которые получают или обрабатывают ненадежные данные. Системные и сетевые сервисы также выходят за рамки EMET. Хотя технически возможно защитить эти сервисы с помощью EMET, мы не советуем вам этого делать.

Список совместимых приложений

Ниже приведен список конкретных продуктов, которые имеют проблемы с совместимостью в отношении средств устранения, предлагаемых EMET. Если вы хотите защитить продукт с помощью EMET, вам необходимо отключить определенные несовместимые меры. Имейте в виду, что в этом списке учитываются настройки по умолчанию для последней версии продукта. Проблемы с совместимостью могут возникнуть при применении определенных надстроек или дополнительных компонентов к стандартному программному обеспечению.

Несовместимые меры по смягчению последствий

Продукт	EMET 4. 1, обновление 1	ЭМЕТ 5.2	EMET 5.5 и новее
.NET 2.0/3.5	Фильтрация адресов экспорта (EAF)/Фильтрация адресов импорта (IAF)	ЭАФ/ИАФ	ЭАФ/ИАФ
7-Zip Консоль/графический интерфейс/файловый менеджер	(ДСП)	ДСП	ДСП
Процессоры AMD 62xx	ДСП	ДСП	ДСП
Могущественный брокер Beyond Trust	Не применимо	ЭДП, ЭДП+, ось стека	ЭДП, ЭДП+, ось стека
Некоторые видеодрайверы AMD/ATI	Система ASLR = AlwaysOn	Система ASLR = AlwaysOn	Система ASLR = AlwaysOn
Дропбокс	ДСП	ДСП	ДСП
Excel Power Query, Power View, Power Map и PowerPivot	ДСП	ДСП	ДСП
Гугл Хром	ПОИСК*	ПОИСК*	SEHOP*, ДСП+
Google Talk	ДЕП, СЕХОП*	ДЕП, СЕХОП*	ДЕП, СЕХОП*
Иммидио Флекс+	Не применимо	ДСП	ДСП
McAfee HDLP	ДСП	ДСП	ДСП
Веб-компоненты Microsoft Office (OWC)	Система DEP = AlwaysOn	Система DEP = AlwaysOn	Система DEP = AlwaysOn
Microsoft PowerPoint	ДСП	ДСП	ДСП
Команды Майкрософт	ПОИСК*	ПОИСК*	SEHOP*, ДСП+
Microsoft Word	Хипспрей	Не применимо	Не применимо
Oracle Java	Хипспрей	Хипспрей	Хипспрей
Проверка печати Pitney Bowes 6	SimExecFlow	SimExecFlow	SimExecFlow
Версия Siebel CRM 8. 1.1.9	СЕХОП	СЕХОП	SEHOP
Скайп	ДСП	ДСП	ДСП
Диспетчер системного журнала SolarWinds	ДСП	ДСП	ДСП
Проигрыватель VLC 2. 1.3+	SimExecFlow	Не применимо	Неприменимо
Проигрыватель Windows Media	Обязательно ASLR, EAF, SEHOP*	Обязательно ASLR, EAF, SEHOP*	Обязательно ASLR, EAF, SEHOP*
Фотогалерея Windows	Звонящий	Неприменимо	Не применимо

* Только в Windows Vista и более ранних версиях

ǂ Смягчающие меры EMET могут быть несовместимы с Oracle Java, если они запускаются с использованием параметров, резервирующих большой объем памяти для виртуальной машины (то есть с помощью параметра -Xms). вариант).

Часто задаваемые вопросы

В: Какие эксплойты, для которых CVE были заблокированы EMET?

A: Ниже приведен неполный список CVE, для которых EMET успешно заблокировала известные эксплойты на момент обнаружения:

CVE-номер	Семейство продуктов
CVE-2004-0210	Windows
CVE-2006-2492	Офис
CVE-2006-3590	Офис
CVE-2007-5659	Adobe Reader, Adobe Acrobat
CVE-2008-4841	Офис
CVE-2009-0927	Adobe Reader, Adobe Acrobat
CVE-2009-4324	Adobe Reader, Adobe Acrobat
CVE-2010-0188	Adobe Reader, Adobe Acrobat
CVE-2010-0806	Internet Explorer
CVE-2010-1297	Adobe Flash Player, Adobe AIR, Adobe Reader, Adobe Acrobat
CVE-2010-2572	Офис
CVE-2010-2883	Adobe Reader, Adobe Acrobat
CVE-2010-3333	Офис
CVE-2010-3654	Проигрыватель Adobe Flash
CVE-2011-0097	Офис
CVE-2011-0101	Офис
CVE-2011-0611	Adobe Flash Player, Adobe AIR, Adobe Reader, Adobe Acrobat
CVE-2011-1269	Офис
CVE-2012-0158	Office, SQL Server, Commerce Server, Visual FoxPro, Visual Basic
CVE-2012-0779	Проигрыватель Adobe Flash
CVE-2013-0640	Adobe Reader, Adobe Acrobat
CVE-2013-1331	Офис
CVE-2013-1347	Internet Explorer
CVE-2013-3893	Internet Explorer
CVE-2013-3897	Internet Explorer
CVE-2013-3906	Windows, Офис
CVE-2013-3918	Windows
CVE-2013-5065	Windows
CVE-2013-5330	Проигрыватель Adobe Flash, Adobe AIR
CVE-2014-0322	Internet Explorer
CVE-2014-0497	Проигрыватель Adobe Flash
CVE-2014-1761	Офис , SharePoint
CVE-2014-1776	Internet Explorer
CVE-2015-0313	Проигрыватель Adobe Flash
CVE-2015-1815	Internet Explorer

Вопрос. Как удалить Microsoft EMET 5.1 с помощью команды MSIEXEC или команды реестра?

A: см. ссылки в следующем разделе TechNet:

Msiexec (параметры командной строки) В: Как отключить Watson Error Reporting (WER)?

A: см. ссылки в следующих статьях по Windows и Windows Server:

Настройки WER

Отчеты об ошибках Windows

Отказ от ответственности за стороннюю информацию

Сторонние продукты, обсуждаемые в этой статье, производятся компаниями, независимыми от Microsoft. Microsoft не дает никаких гарантий, подразумеваемых или иных, в отношении производительности или надежности этих продуктов.

Домашняя страница — Emet — EMET

Десятилетия ИТ
Совершенство Всегда на переднем крае технологий

Контакт 24/7

О ЕМЕТ

EMET Computing является ведущим поставщиком решений для облачных вычислений, информационных систем и технологий центров обработки данных. С момента своего основания в 1984 году EMET была признана высокопрофессиональной и надежной компанией, накопившей обширные знания и партнерские отношения в областях своей компетенции.

EMET Computing является публичной компанией, акции которой котируются на Тель-Авивской фондовой бирже. Благодаря многолетнему опыту, высококвалифицированным специалистам и партнерским отношениям с ведущими поставщиками на рынке EMET Computing может помочь клиентам решить самые сложные задачи.

Эксперты EMET разрабатывают подходящую и управляемую ИТ-архитектуру в облаке, в помещении или в виде гибридного решения для решения задач наших клиентов. Мы предлагаем архитектуру, оптимизируем и развертываем реальное решение и сопровождаем пользователей лучшими в своем классе услугами. Нашими клиентами являются самые ответственные предприятия в Израиле, уважаемые начинающие компании с высокими оценками удовлетворенности на протяжении многих лет.

Полный стек ИТ-инфраструктуры

EMET Computing предоставляет, развертывает и поддерживает полный стек ИТ-инфраструктуры:

Профессиональные услуги

Консультации, развертывание и помощь на месте. Услуги по техническому обслуживанию. Удаленный мониторинг с помощью NOC 24×7

Данные, большие данные и аналитика

RDBS, Hadoop, NoSQL, машинные данные и расширенная аналитика

Гипермасштабные облака

Услуги для клиентов общедоступных облаков

Непрерывность бизнеса

Резервное копирование и восстановление, Защита от стихийных бедствий, передача данных в облако

Кибербезопасность

Управление идентификацией и доступом, безопасность API, безопасность операционной системы, сетевая безопасность, кибераналитика.

Программное обеспечение

Операционные системы, виртуализация, контейнеры, Linux и Open Source, DevOps, разработка программного обеспечения.

Хостинг ИТ

Управляемые услуги от EMET Cloud’EM

Стоечные системы

Инфраструктура для крупномасштабных частных облаков, вычислительных кластеров и программно-определяемых систем.

Технологии для центров обработки данных

Корпоративные серверы и системы хранения данных с полным спектром услуг

Сети

Верхние и основные сетевые устройства, виртуальные и физические сетевые устройства, Bare Metal Switch O/S.