EMET v2发布预告:增强安全缓解工具包的新特性

微软宣布即将发布EMET v2版本,该工具包提供六种安全缓解技术,包括动态数据执行防护、结构化异常处理保护等,旨在帮助用户保护高风险应用程序免受漏洞利用攻击,支持从Windows XP到Windows 7的系统。

*更新:EMET 2.0版本现已发布。点击此处了解更多信息。

什么是EMET?

2009年10月,我们在此博客上发布了一个名为EMET的工具,它使用户能够将安全缓解技术部署到任意应用程序中。这样做有助于防止这些应用程序(尤其是业务线和第三方应用)中的漏洞被成功利用。它还响应了客户的需求,帮助管理旧版遗留产品的风险,同时他们正在过渡到更现代的、更安全的产品。此外,它使客户能够轻松尝试针对任何软件的缓解措施,并向供应商提供反馈。

版本2有哪些新特性?

EMET引发了客户的兴趣,基于我们收到的反馈,我们决定发布版本2,该版本包含更多缓解措施、更好的界面和更健壮的基础设施,与早期版本相比。我们在这个版本中的目标是提供一个创新的解决方案,帮助客户管理风险并最小化环境中的中断。这体现在我们的发布目标中:

  • 利用该工具应对正在被积极利用的漏洞,帮助客户防止自己被利用。
  • 使客户能够使用更新的缓解技术来帮助保护无法重新编译以选择加入这些技术的旧应用程序。
  • 提供一个中央界面,使用户更容易管理系统和应用程序缓解措施。

这些新目标显著扩大了EMET的范围,从版本1开始。因此,EMET的旧定义(增强缓解评估工具包)不再适用。随着版本2的发布,我们将EMET的首字母缩写改为增强缓解体验工具包,以反映这一点。

我如何从中受益?

虽然EMET可以被任何人使用,但它主要针对保护高风险攻击机器上的应用程序。好的例子包括后端服务器上的业务线应用程序和企业高管桌面上的浏览器。这些是应用程序妥协可能特别具有破坏性的场景。

与大多数软件一样,部署此工具可能涉及个人(如IT专业人员)进行测试,以确保EMET与需要缓解措施的应用程序(如业务线应用程序和第三方产品)平稳运行。一旦部署,EMET对最终用户将是透明的。

也就是说,EMET也适用于任何希望强化他们使用的应用程序以防止可能利用的安全精通用户。开发人员和安全专业人员也可以使用它作为尝试安全缓解措施的便捷方式。

你能给出一个缓解措施在过去帮助的例子吗?

在2010年1月的Aurora爆发期间,数据执行防护和地址空间布局随机化(两种缓解技术)在阻止已知攻击中发挥了重要作用。你可以在这些SRD博客文章中找到更多信息:IE漏洞风险评估和DEP与新IE漏洞。

版本2将支持哪些缓解措施?

新版本的EMET将包括总共六种缓解措施。其中四种来自原始EMET,而导出地址表访问过滤和强制地址空间布局随机化是版本2的新功能。以下是有关缓解措施的更多详细信息:

动态数据执行防护(DEP)

DEP自Windows XP以来一直可用。然而,当前的配置选项不允许应用程序单独选择加入,除非它们使用特殊标志编译。EMET允许未使用该标志编译的应用程序也选择加入。有关DEP是什么以及如何工作的更多信息,请查看我们关于它的两部分SRD博客文章的第1部分和第2部分。

结构化异常处理覆盖保护(SEHOP)

这保护免受当前Windows中利用堆栈溢出的最常见技术。此缓解措施自Windows Vista SP1以来随Windows一起提供。最近在Windows 7中,添加了按进程打开和关闭它的能力。通过EMET,我们在任何平台上提供Windows 7的功能,回溯到Windows XP。更多信息,请查看SEHOP概述和Windows 7 SEHOP更改博客文章。

堆喷分配

当漏洞利用运行时,它通常无法确定其shellcode驻留的地址,并且必须在控制指令指针时进行猜测。为了提高成功几率,大多数漏洞利用现在使用堆喷技术将它们的shellcode副本放置到尽可能多的内存位置。此缓解措施阻止使用当今漏洞利用中最常见的地址。

空页分配

这与堆喷分配类似的技术,但设计用于防止用户模式中潜在的空解引用问题。目前没有已知的方法来利用它们,因此这是一种深度防御缓解技术。

导出地址表访问过滤

此缓解措施设计用于破坏当今几乎所有使用的shellcode。在一段shellcode能够做任何有用的事情之前,它通常必须首先定位Windows API。此缓解措施阻止shellcode当前用于执行此操作的常见技术。

强制地址空间布局随机化(ASLR)

ASLR随机化模块加载的地址,以帮助防止攻击者利用可预测位置的数据。问题在于所有模块都必须使用编译时标志来选择加入此功能。通过EMET,我们强制模块在目标进程中随机加载地址,无论其编译时使用的标志如何。**

我在哪里可以下载它?

请密切关注实际二进制文件,它们将在未来几周内发布。我们的博客将随着最新消息和下载链接的发布而更新。

我在哪里可以获得更多关于EMET v2的信息?

我们制作了一个Bluehat视频,逐步介绍该工具并解释其许多优势和功能。视频可以在链接到此的BlueHat网站上找到。我们希望你喜欢它。

感谢Matt Miller和Ken Johnson在EMET上的工作。

  • Andrew Roths和Fermin J. Serna,MSRC工程
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次