Компания
456,36
рейтинг
3 октября 2015 в 18:15

Разное → EMET 5.5 вышел в бету

Microsoft выпустила EMET 5.5 beta [1,2,3,4,5]. Новая версия EMET получила поддержку Windows 10, а также новую security feature. Речь идет о новом механизме противодействия эксплуатации под названием «Block Untrusted Fonts», которая блокирует загрузку в память посторонних файлов шрифтов. Подобные специальным образом сформированные TTF-файлы используются эксплойтами для срабатывания уязвимостей в драйвере win32k.sys, что используется атакующими для обхода механизма sandbox современных веб-браузеров с последующим получением максимальных прав SYSTEM в системе.



EMET не является инструментом типа HIPS и не позволяет пользователям защищать систему от таких операций как внедрение в процессы постороннего кода или прямое блокирование выполнения различных системных операций. Вместо этого, его функции безопасности направлены на блокирование действий Remote Code Execution (RCE) эксплойтов, которые являются самым начальным звеном в цепи действий киберпреступников по автоматической доставке и исполнению вредоносного кода в системе пользователя (drive-by download).


Рис. Интерфейс EMET 5.5 beta.

На самом деле функция «Block Untrusted Fonts» является встроенной security feature, которая появилась в Windows 10 и относится к набору т. н. exploit mitigation функций. Для активации функции в ОС для процесса может использоваться API-функция SetProcessMitigationPolicy с аргументом ProcessFontDisablePolicy (библиотека kernel32.dll). Функцию можно включить и для всей системы, т. е. всех процессов (по умолчанию выключено), для этого используется раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ и параметр MitigationOptions, более подробно см. Block untrusted fonts in an enterprise.


Рис. Функцию «Block Untrusted Fonts» можно активировать для выбранного приложения.

Загрузить EMET можно по этой ссылке.

image
be secure.
Автор: @esetnod32
ESET NOD32
рейтинг 456,36

Комментарии (8)

  • –5
    Какой защиты можно ожидать от инструмента, создатели которого даже интерфейс не могут по-человечки создать. Плоское окно, плоские переключатели, часть иконок плоские, часть выпуклые, половина с тенями, другая — без. Одни галочки на втором скрине чего стоят. Понимаю, что и в самой Windows 10 визуальная часть собиралась по принципу рандомного выбора из нескольких наборов разных стилей, но если такое наплевательское отношение к своему творению в одном, то вполне обоснованно ожидать и некачественной работы в остальном.
    • +2
      Забавно,
      — Python поставляется с корявой стандартной IDE — чего можно ожидать от языка с такой IDE
      — WinDBG имеет неудобный UI дизассемблера — чего можно ожидать от отладчика с такими UI
      — Git устанавливается с компонентом Git GUI, который так-же корявый — ну чего можно ожидать от системы контроля версии c корявым GUI

      Видимо цель инструмента не удивить дизайном, а решить ту задачу ради которой его написали.
      • 0
        Python можно использовать и активно используется без IDE, Git можно использовать и активно используется без Git GUI.
        Можно ли сказать то же самое про EMET? А про WinDBG (опять же продукт Microsoft, как и EMET)? Или IDA все-таки удобнее будет?
        Суть моей мысли такова, что если инструмент подразумевает активное использование именно графического интерфейса, то наплевательское отношение к нему эквивалентно наплевательскому отношению ко всему инструменту в целом. В конце-то концов, почему в 2015-м году консоль выглядит лучше гуёвого гуя? Должно же быть хоть какое-то чувство прекрасного.
  • 0
    exe — шник потенциально опасный давайте его подписывать, сайт потенциально опасный давайте его подписывать, dll потенциально опасная, давайте ее подписывать, active-x потенциально опасный давайте его подписывать! теперь дело дошло до ttf? В свое время хотел писать на Symbian, но далеко не уедешь без сертификата подписывания! надо просто не сидеть под рутом ))
  • +4
    Исправлять уязвимость в драйвере мы не будем, просто сделаем функцию блокировки шрифтов. Прикольно, че.
    • 0
      Вот мне тоже стало интересно. А если найдут уязвимости в jpg, png, html я уж не знаю, mp3. Мы их тоже сможем получать только подписанными?) Интересно будет выглядеть все фотки в контактике надо будет открывать только если вы доверяете их издателю))
    • +2
      EMET и исправления уязвимостей — совершенно разные, никак не пересекающиеся вещи.
  • 0
    Вы бы хоть кратко написали что это такое. Я например такое название первый раз вижу.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное