DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Software (PC-Sicherheit) => Thema gestartet von: SiLæncer am 04 September, 2010, 11:27

Titel: Microsoft-Härtungstool mit grafischer Oberfläche
Beitrag von: SiLæncer am 04 September, 2010, 11:27
Microsofts Enhanced Mitigation Experience Toolkit (https://www.microsoft.com/downloads/details.aspx?FamilyID=c6f0a6ee-05ac-4eb6-acd0-362559fd2f04&displayLang=en) (EMET) vereinfacht in Version 2.0 die Bedienung durch eine grafische Oberfläche und unterstützt neue Schutzfunktionen. EMET soll es Entwicklern, Administratoren und experimentiertfreudigen Anwendern möglich machen, bestimmte Schutzmechanismen in fertigen Binaries zu aktivieren, auch wenn der Quellcode des Programms gar nicht vorliegt.

(http://www.heise.de/imgs/18/5/6/4/7/7/7/e6440c9f9a7b6711.png)
Mit EMET lassen sich Teile des Exploit-
Schutzes Systemweit erzwingen oder
per Opt-In auf einige
Anwendungen begrenzen.
EMET kann mehrere Angriffstechniken verhindern oder erschweren. Mit Structured Exception Handler Overwrite Protection (SEHOP) will Microsoft das Überschreiben von (Structured) Exception-Handlern (SEH) auf dem Stack oder im Datensegment verhindern. Anders als beim Überschreiben von Rücksprungadressen mit Buffer Overflows führen Angreifer hierbei eigenen Code durch das Verbiegen von Funktionszeigern aus.

Darüber hinaus soll EMET Null Page Allocation verhindern können, die sich in Zusammenhang mit Null-Pointer-Dereferenzierungen ausnutzen lassen. Mit Microsofts Tool lässt sich auch Dynamic DEP (DDEP) in Anwendungen aktivieren. Damit kann man die Datenausführungsverhinderung zur Laufzeit an- und abschalten.

Neu sind im Vergleich zur Vorgängerversion die Optionen zur Speicherverwürfelung (ASLR) und Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. Zu strenge Einstellungen können jedoch dazu führen, dass einige Anwendungen nicht mehr funktionieren. Einige der Schutzvorkehrungen lassen sich auch aushebeln, wie die Redmonder in der Dokumentation freimütig zugeben. Microsoft hat ein Video-Tutorial für EMET 2.0 zur Verfügung gestellt, das die Grundlagen und die Bedienung von EMET erklärt.

(http://www.heise.de/imgs/18/5/6/4/7/7/7/3eb385bfad14dda3.png)
Für einzelne Anwendungen lassen sich auch
nur bestimmte Schutzfunktionen aktivieren,
falls es Kompatibilitätsprobleme gibt.
Damit sollten sich letztlich auch Anwendungen gegen Angriffe härten lassen, die von Hause aus keine der Exploit-Schutzmechanismen moderner Windows-Versionen nutzen. Der Sicherheitsdienstleister Secunia hatte Anfang Juli bemängelt, dass viele Anwendungen von Drittherstellern weder DEP noch ASLR nutzen, obwohl sie Exploits unzuverlässiger machen können.

Das bestätigen auch unabhängige Sicherheitsexperten und Exploit-Schreiber wie Charlie Miller, Jon Oberheide und Dino Dai Zovi in einem Interview auf Threatpost mit Dennis Fisher. Es sei immer schwieriger, klassische Sicherheitslücken auszunutzen, woran auch die Anti-Exploit-Funktionen ihren Anteil hätten. Man müsse immer häufiger mehrstufig vorgehen und zudem logische Fehler ausnutzen, um zum Ziel zu kommen.

Quelle : www.heise.de
Titel: Enhanced Mitigation Experience Toolkit (EMET) 2.0.0.3
Beitrag von: SiLæncer am 12 Dezember, 2010, 17:04
scheint kein Changelog verfügbar zu sein ...

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=c6f0a6ee-05ac-4eb6-acd0-362559fd2f04
Titel: Microsoft überarbeitet Exploit-Bremse EMET
Beitrag von: SiLæncer am 19 Mai, 2011, 13:08
Microsoft hat eine Version 2.1 seines Härtungstools Enhanced Mitigation Experience Toolkit (EMET) veröffentlicht (http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx), die nun die Schutzfunktion "Bottom-up Rand" kennt. Dabei wird im Speicher die Basisadresse von nach oben wachsenden Speicherblöcken wie Heap und Stacks zufällig erteilt. Das hindert einen Exploit, der feste Speicheradressen erwartet, an der Ausführung.

Außerdem kann die neue Version Export Address Table Access Filtering (EAF) nun auch für 64-Bit-Prozesse aktivieren. EAF blockt Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. Auch an der Structured Exception Handler Overwrite Protection (SEHOP) hat Microsoft in EMET 2.1 gefeilt sowie diverse nicht näher genannte Bugs behoben.

Des Weiteren hat Microsoft seinem Härtungstool Im- und Exportfunktionen für die Einstellungen sowie Kommandozeilenparameter spendiert, mit deren Hilfe man EMET bequem im Netzwerk verteilen und konfigurieren kann. Mit Erscheinen der neuen Version bietet Microsoft erstmals offiziellen Support für das Programm an. Hierzu hat der Hersteller ein Forum (http://go.microsoft.com/fwlink/?LinkID=213962&clcid=0x409) eingerichtet.

EMET aktiviert Schutzfunktionen für beliebige Anwendungen, Zugriff auf den Quellcode ist hierfür nicht notwendig. In der Vergangenheit hat Microsoft mehrfach Anleitungen veröffentlicht, wie man sich mit EMET vor Zero-Day-Exploits schützen kann.

Quelle : www.heise.de
Titel: Windows-Härter überführt SSL-Spione
Beitrag von: SiLæncer am 18 Juni, 2013, 17:00
Microsoft hat seinem Windows-Härter EMET in Version 4.0 einige neue Tricks beigebracht: Das Tool soll nun unter anderem Lauschangriffe auf verschlüsselte Verbindungen überführen und ROP-Attacken besser stoppen können. Die wichtigste Änderung ist jedoch oberflächlicher Natur: EMET 4.0 ist durch seine generalüberholte Bedienoberfläche deutlich leichter zu steuern. So dürfte das nützliche Schutztool weniger abschreckend auf technisch unerfahrene Nutzer wirken.

Der ganze Artikel (http://www.heise.de/security/meldung/Windows-Haerter-ueberfuehrt-SSL-Spione-1891691.html)

Quelle : www.heise.de
Titel: EMET 5.0 legt Plug-ins an die Leine
Beitrag von: SiLæncer am 27 Februar, 2014, 17:20
Plug-ins wie Flash oder Java dienen Eindringlingen oft als Brechstange, die den Weg in den Rechner freimacht. Mit EMET kann man künftig genau festlegen, welche Prozesse auf welche Plug-ins zurückgreifen dürfen.

Mit einer Technical Preview gibt Microsoft einen Ausblick auf die neuen Schutzfunktionen der Exploit-Bremse EMET. So soll man bei Version 5.0 fein granuliert einstellen können, welche Prozesse unter welchen Bedingungen Plug-ins benutzen dürfen. Beispielsweise kann man dem Internet Explorer das Starten von Java nur dann erlauben, wenn es im Kontext einer Intranet-Seite geschieht. Java-Exploits, die zumeist im Internet gehostet werden, hätten so keine Chance. Microsoft nennt diese Schutzfunktion passenderweise Attack Surface Reduction (ASR).

Der ganze Artikel (http://www.heise.de/security/meldung/EMET-5-0-legt-Plug-ins-an-die-Leine-2125187.html)

Quelle : www.heise.de
Titel: Neue Version von Microsofts Exploit-Bremse EMET
Beitrag von: SiLæncer am 01 August, 2014, 17:15
EMET 5.0 kann jetzt Prozessen den Zugriff auf Plug-ins verbieten und schützt besser gegen ROP-Angriffe. Die neue Version kann ab sofort kostenlos heruntergeladen werden.

Microsoft hat Version 5.0 des Windows-Schutzschildes EMET veröffentlicht. Damit lassen sich zusätzliche Schutzmechanismen in Windows aktivieren, die das Ausnutzen von Schwachstellen erschweren sollen. Die größte Neuerung ist "Attack Surface Reduction" (ASR) – eine Funktion mit der man festlegen kann, welche Prozesse auf welche Plug-ins zugreifen dürfen. So kann man zum Beispiel Word verbieten, das Flash-Plug-in zu laden oder Java im Internet Explorer nur auf Webseiten der Intranet-Zone laden.

EMET 5.0 kann kostenlos von Microsofts Webseite heruntergeladen werden und läuft auf Windows Vista, 7 und 8 sowie Server 2003 bis 2012. Das Tool wird unter anderem von Firmen eingesetzt, um bei bekannten Problemen mit einer Software Angriffe auf diese zu minimieren, bis ein Patch eingespielt werden kann.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Neue-Version-von-Microsofts-Exploit-Bremse-EMET-2282050.html)

Quelle : www.heise.de
Titel: Enhanced Mitigation Experience Toolkit (EMET) 5.1
Beitrag von: SiLæncer am 11 November, 2014, 18:45
Release Notes : http://blogs.technet.com/b/srd/archive/2014/11/10/emet-5-1-is-available.aspx

http://technet.microsoft.com/en-us/security/jj653751
Titel: Enhanced Mitigation Experience Toolkit (EMET) 5.2
Beitrag von: SiLæncer am 17 März, 2015, 19:00
Release Notes
Today, we’re releasing the Enhanced Mitigation Experience Toolkit (EMET) 5.2, which includes increased security protections to improve your security posture. You can download EMET 5.2 from microsoft.com/emet or directly from here.

Following is the list of the main changes and improvements:

Control Flow Guard: EMET’s native DLLs have been compiled with Control Flow Guard (CFG). CFG is a new feature introduced in Visual Studio 2015 (and supported by Windows 8.1 and Windows 10) that helps detect and stop attempts of code hijacking. EMET native DLLs (i.e. EMET.DLL) are injected into the application process EMET protects. Since we strongly encourage 3rd party developers to recompile their application to take advantage of this very latest security technology, we have compiled EMET with CFG. More information on CFG are available at this Visual C++ Team blog entry.

VBScript in Attack Surface Reduction: the configuration for the Attack Surface Reduction (ASR) mitigation has been improved to stop attempts to run the VBScript extension when loaded in the Internet Explorer's Internet Zone. This would mitigate the exploitation technique known as “VBScript God Mode” observed in recent attacks.
Enhanced Protected Mode/Modern IE: EMET now fully supports alerting and reporting from Modern Internet Explorer, or Desktop IE with Enhanced Protected Mode mode enabled.

Your feedback is always welcome, as it helps us improve EMET. Feel free to reach out to us by sending an email to emet_feedback@microsoft.com.

3/16/2015 UPDATE: We have received reports of certain customers experiencing issues with EMET 5.2 in conjunction with Internet Explorer 11 on Windows 8.1. We recommend customers that downloaded EMET 5.2 before March 16th, 2015 to download it again via the link below, and to uninstall the previous EMET 5.2 before installing the new one.
[close]

Quelle & Download -> http://blogs.technet.com/b/srd/archive/2015/03/12/emet-5-2-is-available.aspx
Titel: Enhanced Mitigation Experience Toolkit (EMET) 5.5
Beitrag von: SiLæncer am 03 Februar, 2016, 17:00
Release Notes

The Enhanced Mitigation Experience Toolkit (EMET) benefits enterprises and all computer users by helping to protect against security threats and breaches that can disrupt businesses and daily lives. It does this by anticipating, diverting, terminating, blocking, or otherwise invalidating the most common actions and techniques adversaries might use to compromise a computer. In this way, EMET can help protect your computer systems even from new and undiscovered threats before they are formally addressed by security updates and antimalware software.

Today we are pleased to announce the release of EMET 5.5, which includes the following new functionality and updates:

    Windows 10 compatibility
    Improved configuration of various mitigations via GPO
    Improved writing of the mitigations to the registry, making it easier to leverage existing tools to manage EMET mitigations via GPO
    EAF/EAF+ pseudo-mitigation performance improvements
    Support for untrusted fonts mitigation in Windows 10

Mitigations in Windows 10

EMET was released in 2009 as a standalone tool to help enterprises better protect their Windows clients by providing an interface to manage built-in Windows security mitigations while also providing additional features meant to disrupt known attack vectors used by prevalent malware. Since that time,  we have made substantial improvements to the security of the browser and the core OS. With Windows 10 we have implemented many features and mitigations that can make EMET unnecessary on devices running Windows 10. EMET is most useful to help protect down-level systems, legacy applications, and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG.

Some of the Windows 10 features that provide equivalent (or better) mitigations than EMET are:

Device Guard: Device Guard is a combination of enterprise-related hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications. Device Guard provides hardware-based zero day protection for all software running in kernel mode, thus protecting the device and Device Guard itself from tampering, and app control policies that prevent untrusted software from running on the device.

Control Flow Guard (CFG): As developers compile new apps, CFG analyzes and discovers every location that any indirect-call instruction can reach.  It builds that knowledge into the binaries (in extra data structures – the ones mentioned in a dumpbin/loadconfig display).  It also injects a check, before every indirect-call in your code, that ensures the target is one of those expected, safe locations.  If that check fails at runtime, the operating system closes the program.

AppLocker: AppLocker is an application control feature introduced in Windows 7 that helps prevent the execution of unwanted and unknown applications within an organization's network while providing security, operational, and compliance benefits. AppLocker can be used in isolation or in combination with Device Guard to control which apps from trusted publishers are allowed to run.

[close]

Quelle & Download -> http://blogs.technet.com/b/srd/archive/2016/02/02/enhanced-mitigation-experience-toolkit-emet-version-5-5-is-now-available.aspx