Enhanced mitigation experience toolkit

Enhanced Mitigation Experience Toolkit

Developer(s) Microsoft
Initial release 2009
Final release
Operating system Windows Vista and later, or Windows Server 2008 and later [1]
Platform .NET Framework 4.5 [1]
Type Security software
License Freeware
Website microsoft .com /emet

Enhanced Mitigation Experience Toolkit (EMET) is a freeware security toolkit for Microsoft Windows, developed by Microsoft. It prov >[2]

EMET is targeted mostly at system administrators but the newest version is supported for any Windows user running Windows 7 and later, or Windows Server 2008 R2 and later, with .NET Framework 4.5 installed. [1] Older versions can be used on Windows XP, but not all features are available. [3] Version 4.1 was the last version to support Windows XP.

Microsoft has announced that EMET will reach end of life on July 31, 2018. [4] The successors to EMET are the ProcessMitigations Module—aka Process Mitigation Management Tool—and the Windows Defender Exploit Guard only available on Windows 10 and Windows Server 2016. [5] [6]

Разработчик: Microsoft (США)
Лицензия: Бесплатно (без ограничений)
Версия: 5.52
Обновлено: 2017-01-06
Системы: 10 / 8.1 / 8 / 7 / Vista // Server 2012 / 2012 R2 / 2008 / 2008 R2 / 2003
Интерфейс: английский
Рейтинг:
Ваша оценка:
Категория: Программы безопасности
Размер: 25.6 MB

О программе

Что нового

Новое в версии 5.51

Релиз EMET 5.51 включает исправление ошибок, в том числе:

  • Падение интерфейса EMET 5.5 при автозагрузке
  • Непредвиденное предупреждение для BitLocker в EMET 5.5 при изменении настроек DEP

Новое в версии 5.5

EMET 5.5 включает следующие новые функции и обновления:

  • Совместимость с Windows 10;
  • Полная поддержка GPO для предупреждения последствий и добавлена возможность закрепления сертификатов;
  • Улучшения производительности EAF/EAF+;
  • Предотвращение установки недоверенных шрифтов для Windows 10;
  • Многочисленные исправления ошибок.

Системные требования

Полезные ссылки

Подробное описание

Enhanced Mitigation Experience Toolkit (EMET) позволяет справляться возможно с самой главной проблемой для пользователей Windows – защитой от атак нулевого дня.

Атаки нулевого дня – это новейшие угрозы, которые в силу своего малого возраста неизвестны установленным в системе антивирусам.

EMET является бесплатным автономным приложением безопасности, но не позиционируется как универсальное антивирусное решение. Компонент работает совместно с решениями Microsoft или сторонних вендоров антивирусного ПО для усиления защиты от атак, которые нацелены на популярное и распространенное ПО: Internet Explorer, Office, Acrobat и Java. EMET совместим со всеми современными версиями Windows, начиная от Vista SP2 и Windows Server 2003 SP2 и заканчивая Windows 10 и Windows Server 2012 R2.

Продукт прекрасно подготовлен для корпоративной среды, но по заявлениям Microsoft, инструмент можно использовать также для защиты домашних компьютеров.

Если Вы сталкиваетесь с выполнением заданий, которые связаны с конфиденциальной персональной информацией – заказы или интернет-банкинг – установка EMET 5 крайне рекомендуется.

Основные возможности Microsoft EMET

Data Execution Prevention (DEP, предотвращение выполнения данных) – функция безопасности, которая защищает даже те приложения, архитектура которых не была первоначально подготовлена для EMET. Продукт значительно расширяет системную защиту DEP. Технология DEP позволяет предотвратить атаки, которые сохраняют код в области памяти с помощью переполнения буфера. EMET резервирует определенные области компьютерной памяти для соответствующих типов программ. Например, память, отведенная для исполняемых файлов будет использоваться только для программ, служб и драйверов устройств. В этом случае киберпреступник не сможет использовать данные зоны памяти для скрытия вредоносного кода.

Читайте также:  Принтер кэнон не печатает желтым цветом

Structured Exception Handler Overwrite Protection (SEHOP, защита от перезаписи обработчика структурных исключений) – технология, впервые представленная в 2009, позволяет предотвращать атаки, которые выполняют перезапись обработчика структурных исключений – проще говоря, эксплойт “переполнения буфера”.

Address Space Layout Randomization (ASLR) – случайным образом меняет расположение в адресном пространстве ключевых компонентов приложений, затрудняя хакеру доступ к известных уязвимостям в коде приложений. Без ASLR приложения запускается в специальных зонах адресного пространства памяти. ASLR поддерживается Windows Vista и всеми последующими ОС семейства Windows.

Certificate Trust (Pinning): Мы до сих пор в значительной степени полагаемся на сертификаты безопасности в качестве превентивной меры защиты в сети. По умолчанию, EMET полагает, что некоторые безопасные сертификаты Socket Layer являются доверенными. Продукт также считает, что сайты Facebook, Skype, Twitter, Yahoo и Microsoft имеют надежные сертификаты. Сайты, чьи сертификаты не отвечают ожиданиям EMET, автоматически блокируются. Данная функция сможет выручить, например, когда пользователь попытается посетить фальшивый сайт Facebook.

На прошлой неделе бета-версия тулкита EMET v4 вышла в релиз. Мы уже писали о некоторых новых возможностях 4-й версии и хотели бы остановиться более подробно на самом релизе, поскольку этот инструмент действительно заслуживает внимания. Повторимся, что Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак, которые имеют целью эксплуатирование flaws (или уязвимостей) в ПО и изменение потока выполнения кода. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR по-умолчанию, например, для устаревшей Windows XP.

В нашем посте мы хотим представить обзор основных возможностей четвертой версии EMET, которые помогают защититься от эксплойтов.

Прежде чем рассматривать основные особенности этого инструмента, проясним несколько моментов:

  • EMET не является заменой антивируса или HIPS, поскольку не имеет функционала таких средств: не содержит баз сигнатур или специальных поведенческих шаблонов угроз.
  • EMET не является заменой песочнице (sandbox), поскольку не предназначен для этого и не способен эмулировать действия приложения.
  • EMET не является 100% системой защиты от эксплойтов, поскольку, по сути, ориентирован на отслеживание уже известных способов эксплуатации и не сможет помочь против методов эксплуатирования, которые ему неизвестны.
  • EMET ориентирован на продвинутых пользователей, которые умеют задавать соответствующие системные настройки и реагировать на поступающие сообщения.
  • EMET является бесплатным в использовании.

Главное окно EMET.

С точки зрения защиты от эксплойтов инструмент имеет два типа настроек: для системы в целом, т. е. общее правило для всех приложений в системе (System Status) и для конкретных приложений (Configure Applications). Настройки для системы включают в себя четыре главных пункта:

  • Data Execution Prevention (DEP) — определяет для каких приложений следует использовать DEP.
  • Structured Exception Handler Overwrite Protection (SEHOP) — определяет для каких приложений следует использовать технику защиты обработчиков SEH от перезаписи. Модификация обработчиков SEH в моде у эксплойтов уже давно. SEHOP был введен на уровне системы уже с Vista SP1.
  • Address Space Layout Randmization (ASLR) — определяет для каких приложений следует использовать ASLR.
  • Certificate Trust (Pinning) — функция доступна только для Internet Explorer и позволяет вручную создавать правила проверки цифровых сертификатов SSL/TLS соединений при посещении конкретных веб-ресурсов.
Читайте также:  Дальше bios не грузится

Расшифровку настроек DEP, ASLR, SEHOP см. здесь.
Инструмент поддерживает встроенные профили защиты для быстрой настройки:

  • Maximum Security Settings — опция включает все системные настройки на максимальный уровень.
  • Recommended Security Settings — опция включает системные настройки до «рекомендуемого уровня». В отличие от Maximum Security Settings, понижает статус DEP и SEHOP до App Opt In, т. е. включая эти настройки (по-умолчанию) только для ключевых системных процессов.

Проверить статус процессов с включенным DEP, ASLR вы можете, например, с помощью Process Explorer, задав в настройках отображение соответствующих столбцов. View->Select Columns->DEP Status, ASLR Enabled.

EMET позволяет защитить приложение, в том числе, от следующих весьма известных методов, которыми пользуются эксплойты:

  • ROP — давно известный и широко применяемый эксплойтами метод, позволяющий через специальные «кодовые гаджеты» на стеке добиться исполнения требуемой последовательности кода, обходя т. о. DEP.
  • SEH overwrite — блоки SEH (следующий, адрес обработчика) расположены на стеке и могут быть перезаписаны, например, как часть buffer overflow; соответственно, злоумышленники могут воспользоваться этой уязвимостью для передачи управления на свой код через обработчик исключения.
  • Stack pivoting — метод, применяемый для перемещения регистра стека ESP на нужный для эксплойта адрес.
  • Heapspray — эксплойты пользуются этим методом для выделения большого количества участков памяти с размещением там кода эксплойта, что увеличивает вероятность передачи управления на код, необходимый атакующему.

EMET группирует эти методы, относя некоторые из них к определенной группе. Ниже представлен скриншот настроек для процессов, в котором видно каким образом сгруппированы способы смягчения и используемые эксплойтами методы.

На этом скриншоте показаны настройки, относящиеся непосредственно к памяти.

  • DEP — реализуется за счет вызова kernel32!SetProcessDEPPolicy в контексте контролируемого EMET процесса.
  • BottomUpASLR — в некотором роде представляет собой ASLR для выделяемых регионов памяти на стеке и в куче (по мере выделения памяти и в старших адресах).
  • NullPage — см. MS13-031.
  • MandatoryASLR — принудительно включает ASLR для динамически загружаемых библиотек процесса, т. о. делая непредсказуемым адреса их загрузки. Реализуется за счет перехвата функции ntdll!NtMapViewOfSection.
  • HeapSpray — позволяет фиксировать попытки операций heapspraying за счет резервирования памяти кучи.

  • LoadLib — отслеживание операций LoadLibrary с целью предотвращения загрузки библиотеки в память по пути UNC, например, \server1share.dll
  • MemProt — запрет изменения статуса страниц стека на executable.
  • Caller — также относится к ROP и позволяет наблюдать за тем, с помощью какой инструкции была вызвана API, т. е. контроль за тем, чтобы функция была вызвана с помощью call, а не ret, что широко применяется в эксплойтах.
  • SimExecFlow — позволяет обнаруживать ROP-гаджеты после вызова контролируемой EMET функции.
  • StackPivot — позволяет обнаруживать ситуации stack pivoting.
Читайте также:  Фейк номер телефона бесплатно

  • SEHOP — отслеживает попытки эксплуатирования обработчиков SEH. На самом деле такая возможность введена в самой ОС, начиная с Vista SP1. EMET позволяет использовать такую возможность и на системах ниже Vista SP1.
  • EAF (Export Address Table Access Filtering) — запрещает какие-либо операции обращения к странице памяти, на которой расположена таблица экспорта модуля, в зависимости от кода, который пытается получить к ней доступ. Т. е. разрешает к ней доступ только для кода, который принадлежит известному загруженному модулю. Используется эксплойтами (и не только) при ручном разборе таблицы экспорта модуля с целью получения адреса нужной функции.

Для выполнения всех этих операций EMET использует хорошо нам знакомый метод inline code patching, который наглядно представлен на скриншоте ниже (процесс, находящийся под контролем EMET).

EMET имеет дополнительные расширенные возможности для приложений, которые доступны из Application Configuration.

  • Deep Hooks — для защиты критических API EMET будет не только перехватывать сами эти функции, но и те функции (другие API), которые из них будут вызываться.
  • Anti Detours — блокирует действия эксплойтов, которые пропускают первые байты API (обычно пролог) и передают управление на инструкции, следующие за ними.
  • Banned Functions — запрещает вызов API-функций из специального списка. В 4-й версии в этом списке присутствует только функция ntdll!LdrHotPatchRoutine.

Задайте действие, которое будет выполнять EMET по возникновению одного из условий эксплуатации. Возможные варианты: Stop on exploit (блокирование действия с отображением специального сообщения и завершением процесса) и Audit only (уведомление о действии).

Что следует защищать EMET?

Обратите внимание, что EMET имеет список процессов, для которых он будет включен по-умолчанию. В эти процессы входят: веб-браузер MS Internet Explorer, Adobe Acrobat, Java, MS Office. Список процессов Вы можете увидеть в окне Apps.
Мы выделяем следующие особенности касательно защиты приложений с использованием EMET:

  • Рассмотрите возможность включения EMET для процессов Skype (или другой мессенжер, которым вы пользуетесь), а также вашего браузера. Поскольку эти компоненты могут быть эксплуатированы удаленно.
  • Заметьте, что EMET не является полностью совместимым со всеми приложениями, не говоря уже об отладчиках и прочих системных инструментах. Поэтому, если вы являетесь администратором, не включайте EMET сразу для всех вам необходимых процессах в сети, лучше протестируйте совместимость с этими приложениями отдельно.
  • Список возможных несовместимостей и их обсуждение см. здесь.


Список несовместимостей механизмов EMET с различными приложениями.

Руководство Microsoft по EMET [PDF] здесь.
Презентация EMET на RECon’13 от одного из разработчиков здесь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector