Новая версия Enhanced Mitigation Experience Toolkit (EMET) 4.0 вышла в бету. EMET использует необходимые превентивные методы для защиты приложений от различных рода атака, которые имеют целью эксплуатирование flaws в ПО и изменение потока выполнения кода. EMET помогает защитить приложения, в т. ч. от 0day эксплойтов, которые могут использовать ROP для обхода DEP и ASLR. Новая версия EMET вводит ряд дополнительных возможностей, которые позволяют обнаруживать различные сценарии эксплуатации и компрометации приложений.

На прошлой неделе бета-версия тулкита EMET v4 вышла в релиз. Мы уже писали о некоторых новых возможностях 4-й версии и хотели бы остановиться более подробно на самом релизе, поскольку этот инструмент действительно заслуживает внимания. Повторимся, что Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак, которые имеют целью эксплуатирование flaws (или уязвимостей) в ПО и изменение потока выполнения кода. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR по-умолчанию, например, для устаревшей Windows XP.

В нашем посте мы хотим представить обзор основных возможностей четвертой версии EMET, которые помогают защититься от эксплойтов.

Мы уже много раз писали и про EMET [1, 2, 3, 4] и про «Расширенный защищенный режим» (EPM) работы браузера Internet Explorer 10+ [1,2], и про 64-битные процессы для вкладок [1, 2], и про нововведения Windows 8/8.1 [1], в которых используется защита от эксплуатации. Несмотря на то, что Microsoft, в последнее время, уделяет достаточно усилий для того, чтобы встроить защиту от эксплойтов в Windows, многие введенные настройки оказываются выключены по умолчанию. Очевидно, что практикуемый компанией подход заключается в том, что она ставит совместимость приложений с ОС на первое место, а включение настроек безопасности оставляет на плечи пользователей (из-за декларируемых проблем совместимости).



Например, в недавнем посте на MSRC для SA 2963983 содержится следующее предложение.

Our initial investigation has revealed that Enhanced Protected Mode, on by default for the modern browsing experience in Internet Explorer 10 and Internet Explorer 11.

Компания Microsoft выпустила в релиз пятую версию инструмента EMET (EMET 5.0), о котором мы подробно писали здесь и здесь. Релизная версия заменяет собой EMET 5.0 Technical Preview 3, который был доступен пользователям до выхода этой версии в релиз. На новых технических возможностях EMET 5.0 мы подробно останавливались здесь, они включают в себя механизмы Attack Surface Reduction (ASR) и Export Address Table Filtering Plus (EAF+). Кроме этого, разработчики добавили более дружественный интерфейс (впервые был введен в EMET 5.0 TP3). Теперь вместо сухих таблиц с галочками, которые включают необходимые опции безопасности, по двойному щелчку на процессе можно посмотреть включенные для него опции с их минимальным разъяснением.



Инструмент EMET является бесплатным в использовании и продвигается Microsoft как одно из основных средств для защиты от эксплойтов, в т. ч. 0day. Во многих Security Advisory, выпускаемых компанией, вы можете увидеть отсылку именно к EMET. Инструмент, в большей степени, ориентирован на технических специалистов и содержит различные настройки, некоторые из которых выключены по умолчанию для обеспечения необходимого уровня совместимости с приложениями (EMET выполняет т. н. inline patching кода защищаемых процессов, перехватывая там API вызовы, см. ссылки выше). Тем не менее, даже для обычного пользователя, который не может разобраться со всеми настройками, EMET может быть очень полезен с настройками по-умолчанию.

EMET обновился до версии 5.1. В новой версии были исправлены проблемы совместимости пятой версии со сторонними приложениями, в т. ч., с MS Internet Explorer, Adobe Reader, Adobe Flash Player, и Mozilla Firefox. Исправлена несовместимость настройки EAF+ с Adobe Reader sandbox (Защищенный режим просмотра), которая приводила к ложным срабатываниям при открытии документов pdf, для которых должен был включаться режим защищенного просмотра. Кроме этого, теперь процессы и сервис EMET запускаются как 64-битные. Скачать новую версию можно по этой ссылке.



Детальная информация по настройкам EMET см. [1], [2], [3]. Полный список изменений см. ниже.

EMET обновился до версии 5.2 [1],[2],[3],[4]. В новой версии компанией был внесен ряд улучшений, в частности, библиотеки самого EMET скомпилированы с поддержкой новейшей функции компилятора Visual Studio 2015 под названием Control Flow Guard (CFG). Такая функция безопасности может относиться к механизмам самозащиты исполняемого легитимного кода от постороннего вмешательства (code hijacking).

С древнейших времен (хорошо, что все они были на нашей памяти) айтишники обожают сокращения — как в бытовом (все эти AFK, BTW, AFAIK), так и в профессиональном общении. Поэтому иногда при чтении профессиональной литературы по безопасности мозг даже прилично подготовленного хакера может встать в позу речного скорпиона. Чтобы этого не произошло, мы подготовили для тебя статью, в которой разобрали несколько самых распространенных аббревиатур и акронимов (наш литературный редактор говорит, что это разные вещи, придется загуглить разницу), означающих нечто, осложняющее жизнь честному хакеру или вирмейкеру.

Microsoft выпустила EMET 5.5 beta [1,2,3,4,5]. Новая версия EMET получила поддержку Windows 10, а также новую security feature. Речь идет о новом механизме противодействия эксплуатации под названием «Block Untrusted Fonts», которая блокирует загрузку в память посторонних файлов шрифтов. Подобные специальным образом сформированные TTF-файлы используются эксплойтами для срабатывания уязвимостей в драйвере win32k.sys, что используется атакующими для обхода механизма sandbox современных веб-браузеров с последующим получением максимальных прав SYSTEM в системе.



EMET не является инструментом типа HIPS и не позволяет пользователям защищать систему от таких операций как внедрение в процессы постороннего кода или прямое блокирование выполнения различных системных операций. Вместо этого, его функции безопасности направлены на блокирование действий Remote Code Execution (RCE) эксплойтов, которые являются самым начальным звеном в цепи действий киберпреступников по автоматической доставке и исполнению вредоносного кода в системе пользователя (drive-by download).

Цитаты из книги Евгения Касперского, которые я прикладываю к каждому новостному дайджесту, хорошо показывают ландшафт угроз по состоянию на начало 90-х годов прошлого века, а точнее — расположение темы ИБ по отношению к остальному миру. Примерно до начала двухтысячных, до появления первых массовых эпидемий все еще довольно простых зловредов, информационная безопасность воспринималась как нечто еще более сложное, чем IT в целом. Хорошие были времена, но они закончились. В середине десятых киберугрозы обсуждают все: научные работники, парламентарии и даже звезды эстрады. Это хорошо заметно по октябрьским дайджестам самых популярных новостей: сначала мы ударились в теорию криптографии, а потом внезапно перескочили в законодательство. И, таки да, приходится: все это так или иначе влияет на киберпространство, пусть и не прямо сейчас.

Но вообще-то, вообще-то, практическая безопасность как была сложной чисто технической темой, так и осталась. Ландшафт угроз нельзя адекватно оценить, если смотреть только на реакцию общества или только на научные исследования. Те самые законопроекты — они важны, но с практикой имеют мало общего. Они и с IT в целом связаны только потому, что их текст набирался на компьютере в ворде. Это не то чтобы великое открытие, но явный намек: неплохо было бы соблюдать баланс. Отрадно, что на этой неделе все самые популярные новости — как раз из практической сферы. Никакой политики, никаких угроз, потенциально эксплуатируемых лет через пятнадцать. Все здесь и сейчас, как мы любим. До здравствует умеренный хардкор. Уииии!
Предыдущие серии живут здесь.

Microsoft обновила EMET до версии 5.5 [1,2,3,4,5,6]. Новую версию инструмента можно сказать по этой ссылке. Как мы уже указывали в информации к бета версии, в инструмент была добавлена существенная функция безопасности под названием «Block Untrusted Fonts» для противодействия Local Privilege Escalation (LPE) эксплойтам, которые используются вредоносными программами и RCE эксплойтами для повышения своих прав в системе. Речь идет о защите от LPE эксплойтов, использующих специальным образом сформированные файлы шрифтов для срабатывания уязвимостей в драйвере win32k.sys.



К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.

Специалисты компании FireEye обнаружили серьезную недоработку безопасности в инструменте EMET [1,2,3,4,5,6,7], которая позволяет достаточно просто отключить его механизмы защиты процессов с использованием его же встроенных функций. Уязвимость присутствует в предыдущих версиях EMET, т. е. в версиях до актуальной 5.5. Пользователям этих версий рекомендуется обновить EMET до последней версии.



Сам EMET поддерживает внутренний механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Эта функция применяется в том случае, когда нужно оперативно отключить защиту процесса, за реализацию которой отвечает динамическая библиотека emet.dll. Полное отключение защиты реализуется обработчиком DllMain с кодом выгрузки DLL_PROCESS_DETACH. В силу того, что emet.dll не перехватывает функцию kernel32!GetModuleHandleW и не контролирует ее поведение, шелл-коду достаточно вызвать GetModuleHandleW для получения адреса загрузки DLL в памяти и вызвать DllMain, передав функции это значение и константу выгрузки.

Специалисты FireEye сообщили об обнаружении новой модификации Angler Exploit Kit, который использует специальные приемы для обхода EMET. Речь идет о нескольких эксплойтах для Adobe Flash и MS Silverlight, которые используют нестандартные методы обхода механизмов безопасности EMET, используемые для блокирования вредоносных действий эксплойтов в памяти. Эксплойты обходят настройки DEP, EAF и EAF+ в новейшей версии EMET 5.5.



Мы уже много раз писали про EMET [1,2,3,4,5,6,7]. Этот инструмент позиционируется Microsoft как бесплатное и эффективное средство для защиты от RCE-эксплойтов, т. е. тех эксплойтов, которые используются злоумышленниками для удаленного исполнения кода. Новейшая версия EMET также содержит функцию противодействия LPE-эксплойтам, которые используют уязвимости в драйвере win32k.sys для повышения своих привилегий до уровня SYSTEM.

Microsoft анонсировала отказ от поддержки известного бесплатного инструмента безопасности EMET. В качестве двух основных причин такого шага MS называет выход Windows 10, которая уже поддерживает ряд еще более продвинутых механизмов защиты от эксплойтов с помощью виртуализации (Device Guard, Credential Guard, Windows Defender Application Guard). Вторая причина заключается в том, что сам по себе EMET никогда не являлся настоящим security-продуктом для долговременного использования, а применялся как площадка для обката новых методов защиты от эксплуатации уязвимостей.

Finally, we have listened to customers’ feedback regarding the January 27, 2017 end of life date for EMET and we are pleased to announce that the end of life date is being extended 18 months. The new end of life date is July 31, 2018. There are no plans to offer support or security patching for EMET after July 31, 2018. For improved security, our recommendation is for customers to migrate to Windows 10.

Повышение привилегий (Privilege Escalation)

Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)

Эскалация привилегий — это результат действий, которые позволяют злоумышленнику или вредоносной программе получить более высокий уровень разрешений в атакуемой системе или сети. Техники эскалации привилегий описывают методы, с помощью которых противник, получив непривилегированный доступ в атакуемую систему, используя различные «слабости» системы может получить права локального администратора, system или root. Использование злоумышленниками учетных записей пользователей с правами доступа к конкретным системам или разрешениями на выполнения определенных операций также может рассматриваться как эскалация привилегий.