Drucksache: windows.developer Magazin 10.2014 - Das Enhanced Mitigation Experience Toolkit als Schutz vor 0-Day-Exploits
Im windows.developer 10.2014 ist ein Artikel über das Enhanced Mitigation Experience Toolkit (EMET) erschienen.
Es gibt eine ganze Reihe so genannter Mitigations, mit denen die Ausnutzung von Schwachstellen erschwert werden kann. Eigentlich ist es Aufgabe der Entwickler, diese Mitigations in ihren Programmen zu nutzen. Tun sie das nicht, kann man mit Microsofts EMET nachhelfen.
Die Mitigations sind ein ziemlich guter Schutz vor Angriffen mit 0-Day-Exploits. Und eigentlich auch der einzige. Und das EMET ist die beste (und ebenfalls einzige) Möglichkeit, diese Mitigations mit Programmen und Bibliotheken zu nutzen, die sie von Haus aus nicht mitbringen. Und gerade die haben diesen Schutz nötig, denn sie werden von den Cyberkriminellen genutzt, um die Mitigations in anderen Programmen zu unterlaufen.
Also: Installieren Sie das EMET und probieren Sie es aus. Manche Mitigations führen mit einzelnen Programmen zu Problemen, da die dadurch blockierte Techniken einsetzen. Aber dann kann man die Mitigations ja immer noch fallweise ausschalten. Außerdem arbeitet Microsoft laufend mit den Entwicklern problematischer Programme zusammen, um diese sicherer zu machen. So ist zum Beispiel in EMET 5.0 die "Deep Hooks"-Mitigation per Default eingeschaltet, da problematische Programme daran angepasst werden konnten.
Apropos EMET 5.0: Beim Schreiben des Artikels war noch EMET 4.0 aktuell, von Version 5.0 gab es nur eine "Technical Preview". Inzwischen wurde EMET 5.0 veröffentlicht.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Microsoft: Enhanced Mitigation Experience Toolkit
- [2] Carsten Eilers: "Schutzmaßnahmen: Der Pufferüberlauf im Überblick"
- [3] Carsten Eilers: "Schutzmaßnahmen: Canary und DEP gegen Pufferüberlauf-Schwachstellen"
- [4] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [5] Carsten Eilers: "Schutzmaßnahmen: ASLR kann unterlaufen werden"
- [6] Tim Newton, Ask the Performance Team Blog: "Demystifying Shims - or - Using the App Compat Toolkit to make your old stuff work with your new stuff"
- [7] Carsten Eilers: "Die 0-Day-Exploits 2013 im Überblick"
- [8] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [9] Carsten Eilers: "0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?"
- [10] Carsten Eilers: "Wasserloch-Angriffe über 0-Day-Schwachstelle im Internet Explorer"
- [11] Neil Sikka, Security Research & Defense Blog: "Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322"
- [12] Darien Kindlund, Dan Caselden, Xiaobo Chen, Ned Moran, Mike Scott; FireEye: "Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website"
- [13] Carsten Eilers: "Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar"
- [14] Chengyun Chu, Elia Florio; Security Research & Defense Blog: "Security Advisory 2953095: recommendation to stay protected and for detections"
- [15] Elia Florio; Security Research & Defense Blog: "When ASLR makes the difference"
- [16] Matt Miller, Security Research & Defense Blog: "Preventing the Exploitation of Structured Exception Handler (SEH) Overwrites with SEHOP"
- [17] Elia Florio, Security Research & Defense Blog: "EMET 4.0's Certificate Trust Feature"
- [18] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [19] EMET Team, Security Research & Defense Blog: "Announcing EMET 5.0 Technical Preview"
- [20] Jared DeMott, Bromium Labs "Call of the Wild" Blog: "Bypassing EMET 4.1"
Trackbacks