EMET v4 Beta 发布:强化内存漏洞防护与SSL证书信任

微软发布EMET 4.0 Beta版,新增SSL/TLS证书信任检测、反ROP绕过机制、审计模式与企业预警功能,强化软件内存漏洞防护,支持零日攻击防御与应用程序兼容性优化。

引入EMET v4 Beta

好消息! 今天我们自豪地宣布下一代增强缓解体验工具包(EMET)——EMET 4.0的Beta版本发布。点击此处下载

EMET是一款免费工具,通过为软件启用最新的安全缓解技术,帮助防止内存损坏漏洞被成功利用执行代码。这使得各种软件显著增强抗攻击能力——即使面对零日漏洞和尚未修复的漏洞。我们鼓励您下载安装测试此Beta版本,就新功能提问,并在正式发布前报告发现的问题。我们计划于2013年5月14日正式发布EMET 4.0。

此新版本的功能集灵感来源于我们希望EMET成为更广泛潜在软件攻击场景的有效缓解层,提供对现有EMET保护场景的更强防护,并能够尽快响应零日攻击。以下是EMET 4.0功能集的亮点:

  • EMET 4.0检测利用可疑SSL/TLS证书的攻击
  • EMET 4.0加强现有缓解措施并阻止已知绕过方法
  • EMET 4.0解决EMET 3.0的已知应用程序兼容性问题
  • EMET 4.0为企业客户和微软启用早期预警程序
  • EMET 4.0允许客户通过“审计模式”测试缓解措施

SSL/TLS证书信任功能

EMET 4.0允许用户配置一组证书固定规则,在使用Internet Explorer浏览时验证数字签名证书(SSL/TLS证书)。此选项允许用户配置规则集,将特定域(通过其SSL/TLS证书)与相应的已知根证书颁发机构(RootCA)匹配。当EMET检测到特定域配置的SSL证书颁发RootCA变化时,会报告此异常作为潜在中间人攻击的指标。

高级用户还可以为每个固定规则添加例外。这将允许EMET接受SSL/TLS证书,即使固定规则不匹配。例外与RootCA证书的某些属性相关,如密钥大小、哈希算法和颁发者国家。

加强的缓解措施,阻止绕过

我们在EMET 3.5的“技术预览”阶段学到了很多。我们看到研究人员提出巧妙技巧绕过EMET的反ROP缓解措施。EMET 4.0阻止这些绕过。例如,EMET 4.0不仅挂钩和保护调用栈中_kernel32!VirtualAlloc层的函数,还额外挂钩更低级函数如_kernelbase!VirtualAllocntdll!NtAllocateVirtualMemory。这些“深度挂钩”可在EMET的高级配置中配置。

我们看到攻击尝试通过执行挂钩函数前导副本然后跳转到函数前导之后来规避EMET挂钩。启用EMET 4.0的“反分离”选项后,使用此技术的常见shellcode将被阻止。最后,EMET 4.0还包括阻止调用被禁API的机制。例如,CanSecWest 2013最近的一次演讲提出了通过ntdll!LdrHotPatchRoutine绕过ASLR和DEP的方法。EMET 4.0的“被禁API”功能阻止此技术。

应用程序兼容性修复

先前版本EMET的用户在微软和第三方软件上启用缓解措施时遇到孤立兼容性问题。EMET 4.0解决所有已知应用兼容性问题。列表包括以下领域的问题:

  • Internet Explorer 9和截图工具
  • Internet Explorer 8的管理加载项对话框
  • 通过SharePoint的Office软件
  • 启用某些缓解措施的Access 2010
  • Windows 8上的Internet Explorer 10

EMET 4.0安装程序还为某些软件禁用特定缓解措施的保护规则,因为我们知道缓解措施与某些软件交互不良。示例包括Photoshop、Office 2013的Lync、GTalk、wmplayer和Chrome。

企业客户和微软的早期预警程序

当EMET检测并阻止攻击尝试时,会通过微软错误报告(MER)功能准备一组与攻击相关的信息。对于通过Microsoft Desktop Optimization Package或System Center Operations Manager的客户端监控功能收集错误报告的企业客户,这些错误报告可在本地分类,用作指示企业网络可能攻击的早期预警程序。对于通常将所有错误报告发送给微软的组织,此信息将增加我们用于追踪野外攻击的指标集,并有助于在漏洞成为大规模威胁之前通过安全更新修复问题。

EMET隐私声明(也可通过主EMET窗口获取)包含有关通过微软错误报告发送的错误报告中数据类型的更多信息。早期预警程序在EMET 4.0 Beta中默认启用,可通过EMET UI或EMET命令行组件禁用。我们渴望听到客户对此功能的反馈,以帮助塑造EMET 4.0正式版的早期预警程序。

审计模式

当先前版本EMET检测到攻击尝试时,会通过EMET代理报告攻击然后终止程序以阻止攻击。对于EMET 4.0,响应客户反馈,我们提供了配置EMET检测到攻击尝试时行为的选项。默认选项仍然是终止应用程序。但是,希望在生产环境中测试EMET的客户可以切换到“审计模式”报告攻击尝试但不终止进程。此设置不适用于所有缓解措施,但我们尽可能提供此选项。

其他改进

EMET 4.0包括大量其他改进。新功能的数量和此版本的工作量是我们跳过EMET 3.5完整发布直接跳到EMET 4.0的原因。请参阅EMET 4.0 Beta用户指南获取完整功能集,但以下是其他几个亮点:

  • EMET通知器变为EMET代理,具有新职责和功能
  • 更细粒度的报告选项(托盘图标、事件日志、两者或无)
  • 缓解措施和证书信任的新默认配置文件
  • 注册表配置自定义EMET代理消息传递
  • 优化RopCheck显著提高性能
  • 众多UI调整使EMET更易使用
  • 启用通配符支持添加受保护应用程序
  • 允许保护无.exe扩展名的进程
  • 切换到.NET Framework 4.0
  • EMET是微软官方支持工具,为拥有Premier合同的客户提供支持

我们渴望听到对此新版本EMET的反馈!此Beta期仅为短短四周——我们从漫长的EMET 3.5技术预览中吸取了关于清晰时间表和短Beta期的教训。我们需要在此Beta期获得客户反馈,然后正式发布EMET 4.0。部分EMET 4.0功能集直接来自客户反馈。我们希望使EMET成为您乐于在环境中部署和配置的工具。此Beta期提供了在向所有人发布前获得早期采用者反馈的选项。请将任何反馈、问题或建议发送至emet_feedback@microsoft.com。立即下载EMET 4.0 Beta并尝试。

谢谢, EMET团队

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次