Pull to refresh

EMET v4 вышел в бету

ESET NOD32 corporate blog Information Security *
Новая версия Enhanced Mitigation Experience Toolkit (EMET) 4.0 вышла в бету. EMET использует необходимые превентивные методы для защиты приложений от различных рода атака, которые имеют целью эксплуатирование flaws в ПО и изменение потока выполнения кода. EMET помогает защитить приложения, в т. ч. от 0day эксплойтов, которые могут использовать ROP для обхода DEP и ASLR. Новая версия EMET вводит ряд дополнительных возможностей, которые позволяют обнаруживать различные сценарии эксплуатации и компрометации приложений.

Читать дальше →
Total votes 9: ↑5 and ↓4 +1
Views 3.9K
Comments 1

EMET v4 Release

ESET NOD32 corporate blog Information Security *
На прошлой неделе бета-версия тулкита EMET v4 вышла в релиз. Мы уже писали о некоторых новых возможностях 4-й версии и хотели бы остановиться более подробно на самом релизе, поскольку этот инструмент действительно заслуживает внимания. Повторимся, что Enhanced Mitigation Experience Toolkit (EMET) использует превентивные методы по блокированию различных действий эксплойтов для защиты приложений от атак, которые имеют целью эксплуатирование flaws (или уязвимостей) в ПО и изменение потока выполнения кода. Несмотря на то, что современные Windows 7 и Windows 8 имеют встроенные, включенные по-умолчанию, возможности DEP и ASLR, направленные на смягчение (mitigation) последствий эксплуатирования, EMET позволяет ввести новые возможности блокирования действий эксплойтов, а также включить DEP или ASLR по-умолчанию, например, для устаревшей Windows XP.

В нашем посте мы хотим представить обзор основных возможностей четвертой версии EMET, которые помогают защититься от эксплойтов.

Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 26K
Comments 5

EMET, предотвращение эксплуатации и неочевидные настройки

ESET NOD32 corporate blog
Мы уже много раз писали и про EMET [1, 2, 3, 4] и про «Расширенный защищенный режим» (EPM) работы браузера Internet Explorer 10+ [1,2], и про 64-битные процессы для вкладок [1, 2], и про нововведения Windows 8/8.1 [1], в которых используется защита от эксплуатации. Несмотря на то, что Microsoft, в последнее время, уделяет достаточно усилий для того, чтобы встроить защиту от эксплойтов в Windows, многие введенные настройки оказываются выключены по умолчанию. Очевидно, что практикуемый компанией подход заключается в том, что она ставит совместимость приложений с ОС на первое место, а включение настроек безопасности оставляет на плечи пользователей (из-за декларируемых проблем совместимости).



Например, в недавнем посте на MSRC для SA 2963983 содержится следующее предложение.
Our initial investigation has revealed that Enhanced Protected Mode, on by default for the modern browsing experience in Internet Explorer 10 and Internet Explorer 11.

Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 13K
Comments 2

EMET 5.0 вышел в релиз

ESET NOD32 corporate blog
Компания Microsoft выпустила в релиз пятую версию инструмента EMET (EMET 5.0), о котором мы подробно писали здесь и здесь. Релизная версия заменяет собой EMET 5.0 Technical Preview 3, который был доступен пользователям до выхода этой версии в релиз. На новых технических возможностях EMET 5.0 мы подробно останавливались здесь, они включают в себя механизмы Attack Surface Reduction (ASR) и Export Address Table Filtering Plus (EAF+). Кроме этого, разработчики добавили более дружественный интерфейс (впервые был введен в EMET 5.0 TP3). Теперь вместо сухих таблиц с галочками, которые включают необходимые опции безопасности, по двойному щелчку на процессе можно посмотреть включенные для него опции с их минимальным разъяснением.



Инструмент EMET является бесплатным в использовании и продвигается Microsoft как одно из основных средств для защиты от эксплойтов, в т. ч. 0day. Во многих Security Advisory, выпускаемых компанией, вы можете увидеть отсылку именно к EMET. Инструмент, в большей степени, ориентирован на технических специалистов и содержит различные настройки, некоторые из которых выключены по умолчанию для обеспечения необходимого уровня совместимости с приложениями (EMET выполняет т. н. inline patching кода защищаемых процессов, перехватывая там API вызовы, см. ссылки выше). Тем не менее, даже для обычного пользователя, который не может разобраться со всеми настройками, EMET может быть очень полезен с настройками по-умолчанию.

Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views 5.9K
Comments 0

Microsoft выпустила EMET 5.1

ESET NOD32 corporate blog
EMET обновился до версии 5.1. В новой версии были исправлены проблемы совместимости пятой версии со сторонними приложениями, в т. ч., с MS Internet Explorer, Adobe Reader, Adobe Flash Player, и Mozilla Firefox. Исправлена несовместимость настройки EAF+ с Adobe Reader sandbox (Защищенный режим просмотра), которая приводила к ложным срабатываниям при открытии документов pdf, для которых должен был включаться режим защищенного просмотра. Кроме этого, теперь процессы и сервис EMET запускаются как 64-битные. Скачать новую версию можно по этой ссылке.



Детальная информация по настройкам EMET см. [1], [2], [3]. Полный список изменений см. ниже.

Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views 3.2K
Comments 1

Microsoft выпустила EMET 5.2

ESET NOD32 corporate blog
EMET обновился до версии 5.2 [1],[2],[3],[4]. В новой версии компанией был внесен ряд улучшений, в частности, библиотеки самого EMET скомпилированы с поддержкой новейшей функции компилятора Visual Studio 2015 под названием Control Flow Guard (CFG). Такая функция безопасности может относиться к механизмам самозащиты исполняемого легитимного кода от постороннего вмешательства (code hijacking).



Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 11K
Comments 15

Аббревиатуры против вирмейкеров: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что

Журнал Хакер corporate blog


С древнейших времен (хорошо, что все они были на нашей памяти) айтишники обожают сокращения — как в бытовом (все эти AFK, BTW, AFAIK), так и в профессиональном общении. Поэтому иногда при чтении профессиональной литературы по безопасности мозг даже прилично подготовленного хакера может встать в позу речного скорпиона. Чтобы этого не произошло, мы подготовили для тебя статью, в которой разобрали несколько самых распространенных аббревиатур и акронимов (наш литературный редактор говорит, что это разные вещи, придется загуглить разницу), означающих нечто, осложняющее жизнь честному хакеру или вирмейкеру.
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Views 7K
Comments 2

EMET 5.5 вышел в бету

ESET NOD32 corporate blog
Microsoft выпустила EMET 5.5 beta [1,2,3,4,5]. Новая версия EMET получила поддержку Windows 10, а также новую security feature. Речь идет о новом механизме противодействия эксплуатации под названием «Block Untrusted Fonts», которая блокирует загрузку в память посторонних файлов шрифтов. Подобные специальным образом сформированные TTF-файлы используются эксплойтами для срабатывания уязвимостей в драйвере win32k.sys, что используется атакующими для обхода механизма sandbox современных веб-браузеров с последующим получением максимальных прав SYSTEM в системе.



EMET не является инструментом типа HIPS и не позволяет пользователям защищать систему от таких операций как внедрение в процессы постороннего кода или прямое блокирование выполнения различных системных операций. Вместо этого, его функции безопасности направлены на блокирование действий Remote Code Execution (RCE) эксплойтов, которые являются самым начальным звеном в цепи действий киберпреступников по автоматической доставке и исполнению вредоносного кода в системе пользователя (drive-by download).

Читать дальше →
Total votes 8: ↑4 and ↓4 0
Views 4.5K
Comments 8

Security Week 45: побег из песочницы, обход EMET через WOW64, взлом 000webhost

«Лаборатория Касперского» corporate blog Information Security *
Цитаты из книги Евгения Касперского, которые я прикладываю к каждому новостному дайджесту, хорошо показывают ландшафт угроз по состоянию на начало 90-х годов прошлого века, а точнее — расположение темы ИБ по отношению к остальному миру. Примерно до начала двухтысячных, до появления первых массовых эпидемий все еще довольно простых зловредов, информационная безопасность воспринималась как нечто еще более сложное, чем IT в целом. Хорошие были времена, но они закончились. В середине десятых киберугрозы обсуждают все: научные работники, парламентарии и даже звезды эстрады. Это хорошо заметно по октябрьским дайджестам самых популярных новостей: сначала мы ударились в теорию криптографии, а потом внезапно перескочили в законодательство. И, таки да, приходится: все это так или иначе влияет на киберпространство, пусть и не прямо сейчас.

Но вообще-то, вообще-то, практическая безопасность как была сложной чисто технической темой, так и осталась. Ландшафт угроз нельзя адекватно оценить, если смотреть только на реакцию общества или только на научные исследования. Те самые законопроекты — они важны, но с практикой имеют мало общего. Они и с IT в целом связаны только потому, что их текст набирался на компьютере в ворде. Это не то чтобы великое открытие, но явный намек: неплохо было бы соблюдать баланс. Отрадно, что на этой неделе все самые популярные новости — как раз из практической сферы. Никакой политики, никаких угроз, потенциально эксплуатируемых лет через пятнадцать. Все здесь и сейчас, как мы любим. До здравствует умеренный хардкор. Уииии!
Предыдущие серии живут здесь.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 7K
Comments 1

EMET 5.5 вышел в релиз

ESET NOD32 corporate blog
Microsoft обновила EMET до версии 5.5 [1,2,3,4,5,6]. Новую версию инструмента можно сказать по этой ссылке. Как мы уже указывали в информации к бета версии, в инструмент была добавлена существенная функция безопасности под названием «Block Untrusted Fonts» для противодействия Local Privilege Escalation (LPE) эксплойтам, которые используются вредоносными программами и RCE эксплойтами для повышения своих прав в системе. Речь идет о защите от LPE эксплойтов, использующих специальным образом сформированные файлы шрифтов для срабатывания уязвимостей в драйвере win32k.sys.

image

К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.

Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 4.8K
Comments 4

В EMET обнаружена уязвимость

ESET NOD32 corporate blog
Специалисты компании FireEye обнаружили серьезную недоработку безопасности в инструменте EMET [1,2,3,4,5,6,7], которая позволяет достаточно просто отключить его механизмы защиты процессов с использованием его же встроенных функций. Уязвимость присутствует в предыдущих версиях EMET, т. е. в версиях до актуальной 5.5. Пользователям этих версий рекомендуется обновить EMET до последней версии.



Сам EMET поддерживает внутренний механизм снятия перехватов с API-функций системных библиотек в защищаемых процессах. Эта функция применяется в том случае, когда нужно оперативно отключить защиту процесса, за реализацию которой отвечает динамическая библиотека emet.dll. Полное отключение защиты реализуется обработчиком DllMain с кодом выгрузки DLL_PROCESS_DETACH. В силу того, что emet.dll не перехватывает функцию kernel32!GetModuleHandleW и не контролирует ее поведение, шелл-коду достаточно вызвать GetModuleHandleW для получения адреса загрузки DLL в памяти и вызвать DllMain, передав функции это значение и константу выгрузки.

Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 5.7K
Comments 7

Набор эксплойтов Angler EK специализируется на обходе механизмов безопасности EMET

ESET NOD32 corporate blog
Специалисты FireEye сообщили об обнаружении новой модификации Angler Exploit Kit, который использует специальные приемы для обхода EMET. Речь идет о нескольких эксплойтах для Adobe Flash и MS Silverlight, которые используют нестандартные методы обхода механизмов безопасности EMET, используемые для блокирования вредоносных действий эксплойтов в памяти. Эксплойты обходят настройки DEP, EAF и EAF+ в новейшей версии EMET 5.5.



Мы уже много раз писали про EMET [1,2,3,4,5,6,7]. Этот инструмент позиционируется Microsoft как бесплатное и эффективное средство для защиты от RCE-эксплойтов, т. е. тех эксплойтов, которые используются злоумышленниками для удаленного исполнения кода. Новейшая версия EMET также содержит функцию противодействия LPE-эксплойтам, которые используют уязвимости в драйвере win32k.sys для повышения своих привилегий до уровня SYSTEM.

Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 3K
Comments 0

Microsoft отказывается от поддержки EMET

ESET NOD32 corporate blog Information Security *
Microsoft анонсировала отказ от поддержки известного бесплатного инструмента безопасности EMET. В качестве двух основных причин такого шага MS называет выход Windows 10, которая уже поддерживает ряд еще более продвинутых механизмов защиты от эксплойтов с помощью виртуализации (Device Guard, Credential Guard, Windows Defender Application Guard). Вторая причина заключается в том, что сам по себе EMET никогда не являлся настоящим security-продуктом для долговременного использования, а применялся как площадка для обката новых методов защиты от эксплуатации уязвимостей.


Finally, we have listened to customers’ feedback regarding the January 27, 2017 end of life date for EMET and we are pleased to announce that the end of life date is being extended 18 months. The new end of life date is July 31, 2018. There are no plans to offer support or security patching for EMET after July 31, 2018. For improved security, our recommendation is for customers to migrate to Windows 10.

Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 9.4K
Comments 9

Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 4

Information Security *

Повышение привилегий (Privilege Escalation)


Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)

Эскалация привилегий — это результат действий, которые позволяют злоумышленнику или вредоносной программе получить более высокий уровень разрешений в атакуемой системе или сети. Техники эскалации привилегий описывают методы, с помощью которых противник, получив непривилегированный доступ в атакуемую систему, используя различные «слабости» системы может получить права локального администратора, system или root. Использование злоумышленниками учетных записей пользователей с правами доступа к конкретным системам или разрешениями на выполнения определенных операций также может рассматриваться как эскалация привилегий.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 4.5K
Comments 0