EMET 5.0技术预览版发布:增强攻击面减少与EAF+防御机制

微软发布EMET 5.0技术预览版,引入攻击面减少(ASR)和导出地址表过滤增强(EAF+)两项新功能,旨在通过模块加载控制和内存保护机制,有效阻断针对Java和Flash插件的攻击,提升系统安全性。

宣布EMET 5.0技术预览版

今天我们激动地宣布增强缓解体验工具包(EMET)下一版本的技术预览版发布。您可以从这里下载EMET 5.0技术预览版。此技术预览版引入了新功能和增强,我们预计这些将成为最终EMET 5.0版本的关键组成部分。我们发布此技术预览版是为了收集客户对新功能和增强的反馈。您的反馈将影响最终EMET 5.0的技术实现。我们鼓励您下载此技术预览版,在测试环境中试用,并告诉我们您希望这些功能和增强在最终版本中如何呈现。如果您在加利福尼亚州旧金山参加RSA Conference USA 2014,请加入我们在微软展台(编号3005)的EMET 5.0技术预览版演示,并直接给我们反馈。EMET团队的几名成员将在整个会议期间在微软展台进行演示。

如前所述,此技术预览版实现了新功能,以中断和阻止我们在过去几个月中检测和分析的攻击。这些攻击中使用的技术激发了我们的新缓解想法,以中断利用并提高编写可靠漏洞利用的成本。EMET 5.0技术预览版还实现了额外的防御机制,以减少攻击的暴露。

EMET 5.0技术预览版引入的两个新功能是攻击面减少(ASR)和导出地址表过滤增强(EAF+)。类似于我们在EMET 3.5技术预览版中引入一组新缓解措施以对抗面向返回编程(ROP),我们引入了这两个新缓解措施,并征求您关于如何改进它们的反馈。当然,它们是“进行中的工作”。我们的目标是在最终版本的EMET 5.0中完善它们。

让我们详细看看这两个新缓解措施的作用,以及导致我们实现它们的理由。

攻击面减少

在2013年年中,我们发布了一个Fix it解决方案,以在Internet Explorer中禁用Oracle Java插件。我们收到了很多积极的反馈和一些关于如何改进Fix it的建议。我们收到的最常见的建议是允许在企业内部网站点上使用Oracle Java插件(这些站点通常运行用Java编写的业务线应用程序),同时在Internet区域网站上阻止它。除了与Java相关的客户反馈外,我们还看到了一些针对Adobe Flash Player插件的漏洞利用。例如,RSA漏洞是由嵌入在Microsoft Excel文件中的Adobe Flash Player漏洞利用促成的,并且一些定向攻击是通过嵌入在Microsoft Word文档中的Adobe Flash Player漏洞利用进行的,如Citizen Lab所述。我们决定设计一个新功能,可用于缓解类似情况,并帮助减少应用程序的攻击面。我们称此功能为攻击面减少(ASR),它可以用作阻止在应用程序中使用特定模块或插件的机制。例如,您可以配置EMET以防止Microsoft Word加载Adobe Flash Player插件,或者,在安全区域的支持下,您可以使用EMET阻止Internet Explorer在Internet区域网站上加载Java插件,同时继续允许在企业内部网站点上使用Java。

下面的示例显示了ASR的实际作用,防止Microsoft Word启动文档中嵌入的Adobe Flash Player文件。默认情况下,EMET 5.0技术预览版预配置为阻止Internet Explorer、Microsoft Word和Microsoft Excel加载某些插件。该功能完全可通过更改两个注册表键来配置,这些键列出了要阻止的插件名称,以及(如果支持)允许例外的安全区域。有关如何配置ASR的更多详细信息,请参阅EMET 5.0技术预览版用户指南。

EAF+

我们还为现有的导出地址表过滤(EAF)添加了新功能。EAF+整合了对较低级别模块的保护,并防止了某些用于从导出表在内存中构建动态ROP小工具的攻击技术。EAF+可以通过“缓解设置”功能区启用。当EAF+启用时,它将在现有EAF检查的基础上添加以下额外保护措施:

  • 在现有的NTDLL.DLL和KERNEL32.DLL之外,增加对KERNELBASE导出的保护
  • 当从某些较低级别模块读取导出表时,对堆栈寄存器和堆栈限制执行额外的完整性检查
  • 当受保护的导出表上的内存读取操作源自可能揭示内存损坏错误的可疑模块时,阻止这些操作,这些错误被用作内存探测的“读取原语”

例如,上面列表中的第三个保护机制缓解了在一些最近的Internet Explorer漏洞利用(CVE-2013-3163和CVE-2014-0322)中使用的Adobe Flash Player中开发的攻击技术,其中攻击者尝试通过扫描内存并使用ActionScript代码解析DLL导出来构建ROP小工具。这些漏洞的利用已经被其他EMET缓解措施阻止。EAF+提供了另一种中断和击败高级攻击的方法。下面的屏幕截图显示了CVE-2014-0322的漏洞利用在受EMET 5.0技术预览版保护的Internet Explorer上运行,仅启用了EAF+。

其他改进

此技术预览版启用了“深度钩子”缓解设置。我们一直在与第三方软件供应商合作,他们的产品在启用深度钩子时无法正常运行。我们相信这些供应商已经解决了之前启用深度钩子时存在的应用程序兼容性问题。我们在技术预览版中启用深度钩子,以评估在最终EMET 5.0版本中默认启用此设置的可能性,因为它已被证明对某些使用较低级别API的ROP小工具的高级攻击有效。我们还引入了一些额外的加固措施,以保护EMET在内存中加载时的配置,并修复了几个应用程序兼容性问题,包括一个涉及Adobe Reader和“MemProt”缓解措施的常见问题。

致谢

我们要感谢SecureState的Spencer J. McIntyre、Bromium Labs的Jared DeMott,以及Adobe安全团队的Peleus Uhley和Ashutosh Mehra,感谢他们在EMET 5.0技术预览版上的合作。

我们对此技术预览版感到兴奋,并希望这些新增功能对我们的客户和我们一样有价值。我们邀请您安装并试用EMET 5.0技术预览版;我们期待听到您的反馈和建议,以增强我们引入的新功能。我们也欢迎您提出任何其他新功能的建议,您希望这些功能包含在最终版本的EMET 5.0中。我们非常重视收到的反馈,我们希望构建一个不仅为系统提供额外保护,而且易于使用和配置的产品。因此,我们邀请大家下载EMET 5.0技术预览版,并给我们留言!

EMET团队

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次