宣布EMET 5.0

今天，我们很高兴地宣布增强缓解体验工具包（EMET）5.0正式发布。EMET是一款免费工具，旨在通过帮助检测和阻止常用于利用内存损坏漏洞的利用技术，协助客户实施纵深防御策略对抗网络攻击。EMET 5.0通过两项新缓解措施和其他多项改进进一步增强了保护。您可以从Microsoft下载中心下载EMET 5.0。

让我们从两项新缓解措施开始，这两项措施最初在EMET 5.0技术预览版中引入：攻击面减少（ASR）和导出地址表过滤增强（EAF+）。我们已在技术预览版公告博客文章中详细描述了这两项新缓解措施，但让我们简要谈谈预览期间的改进。

攻击面减少（ASR）

ASR是一种阻止在应用程序内使用特定模块或插件的机制。例如，您可以配置EMET 5.0以防止Microsoft Word加载Adobe Flash Player插件，或者借助安全区域的支持，使用EMET 5.0阻止Internet Explorer在Internet区域网站上加载Java插件，同时继续允许在Intranet区域网站上使用Java。

在预览期间，我们进行了多次测试并收集了您的反馈，以最终确定此缓解措施的默认配置。我们的目标是提供一个既提供安全性又不限制受EMET 5.0保护的应用程序用户体验的配置。默认情况下，EMET 5.0配置为在Internet Explorer导航到属于Internet区域的网站时阻止加载某些模块和插件，并阻止Microsoft Word、Excel和PowerPoint加载Adobe Flash插件。我们选择了在某些利用场景中常用的模块，但像所有EMET功能和缓解措施一样，ASR完全可配置，以满足每个人的需求并适应特定系统的要求。

导出地址表过滤增强（EAF+）

EAF+始于与现有导出地址表过滤（EAF）缓解措施相同的概念，但扩大了其范围和鲁棒性。在技术预览期间，我们将EAF+作为EAF的扩展进行了介绍。在过去的几个月里，我们对其进行了多项改进，并决定它应该成为一个独立的新的缓解措施。

如技术预览博客文章所述，当启用EAF+时，它增加了以下额外保护措施：

• 当从某些低级模块读取导出表时，对堆栈寄存器和堆栈限制执行额外的完整性检查
• 当源自可能揭示用作内存探测“读取原语”的内存损坏错误的可疑代码时，阻止对选定模块的PE头、节、导入/导出表指针的内存读取操作

这些改进有助于检测和破坏一些当前用于动态发现ROP（返回导向编程）小工具并在漏洞被利用时可靠执行代码的技术。

其他改进

EMET 5.0引入了许多其他改进。让我们逐一了解它们以及它们为客户带来的好处。

64位返回导向处理（ROP）缓解措施

许多ROP缓解措施现在也可用于64位进程：深度挂钩、堆栈枢轴、加载库和内存保护。尽管我们尚未检测到使用ROP技术利用64位应用程序的攻击，但我们决定将反ROP缓解措施扩展到此架构，以备不时之需。

证书信任规则的严格检查

证书信任的固定规则现在可以配置为更激进的“阻止”模式（默认未启用），以便EMET 5.0可以强制Internet Explorer终止SSL连接而不发送会话数据，而不仅仅是检测不受信任的证书。

EMET服务

我们添加了一个名为EMET服务的新服务，它负责许多EMET代理在以前版本中执行的职责。EMET服务除其他外，负责评估证书信任规则，适当地在每个用户实例中分发EMET代理，并自动应用通过网络推送的组策略设置。此外，服务提供了更高的弹性和更好的监控能力。

强化和更好的应用程序兼容性

我们已经看到一种可能绕过EMET 4某些缓解措施的技术。当受EMET保护的应用程序中的内存损坏被滥用以覆盖选定的内存区域并损坏属于EMET本身的数据时，这种技术是可能的。我们还看到了旨在通过调用某些特定API调用来禁用EAF缓解措施的技术。在EMET 5.0中，我们努力强化以对抗潜在的绕过技术。

我们还重构了EMET 5.0引擎的许多组件，以最大化应用程序兼容性，包括与一些流行的反恶意软件产品的兼容性，并减少潜在的误报。

我们做了大量工作来使EMET 5.0成为现实，我们要感谢所有在技术预览期间通过emet_feedback@microsoft.com或EMET Connect门户（我们将继续使用）提供反馈的人。您的反馈帮助创建了一个伟大的EMET版本。现在，我们将您帮助我们构建的产品回馈给您。我们邀请您下载EMET 5.0，安装它，并告诉我们您的想法。

EMET团队： Adam Zabrocki, Andy Renk, Chengyun Chu, Cristian Craioveanu, Elia Florio, Elias Bachaalany, Gerardo Di Giacomo, Neil Sikka