> >

Новое в EMET 5.2

Нововведения в EMET 5.2 - дальнейшие улучшения OS hardening tool от Microsoft

//cdn.atraining.ru/i/at300x300.jpg300300

Привет.

Подготовка к новому поколению инфраструктурных продуктов Microsoft идёт полным ходом – и отличная система для укрепления защищённости ОС и ПО, Enhanced Mitigation Experience Toolkit, получила обновление до версии 5.2. Обновление небольшое, но всё же надо знать, что изменилось.

Новое в EMET 5.2

  • Улучшенная защита компонентов EMET
  • Полноценная работа в варианте Modern IE со включённым EPM
  • Никакого IDDQD : Отключение VBScript God Mode

Начнём.

Улучшенная защита компонентов EMET

Не за горами выход новой Visual Studio 2015 – и уже доступные на данный момент версии радуют дополнительным функционалом. Один из них – Control Flow Guard (CFG). Данный функционал, поддерживаемый с ядра NT 6.2 (Windows NT 8.1 и старше) будет значительно усложнять “необычное” поведение программного кода, предварительно анализируя оное и записывая в доп.структуры данных, которые впоследствии обрабатываются ядром ОС.

Эти меры нужны, т.к. EMET уже достиг того уровня зрелости, когда сам может стать целью атакующих – поэтому заранее и сильно усложнить задачи по модификации его кода или взлому (а значит и доступу к защищаемому им ПО) нужно уже сейчас. Все dll’ки новой версии EMET 5.2 пересобраны с CFG – поэтому обновите версию и получите дополнительную защиту для всех ОС, начиная с Windows 8.1.

Полноценная работа в варианте Modern IE со включённым EPM

Распыляться мыслью тут особо негде – теперь EMET 5.2 нормально защищает и “планшетный” вариант IE, притом со включённым Enhanced Protection Mode. Видимо, было решено, что пользователи Surface тоже люди и ничто человеческое в плане проблем безопасности им не чуждо.
 

Никакого IDDQD : Отключение VBScript God Mode

Некоторое время назад была предложена атака, названная VBScript God Mode (подробности и описание по ссылке). По сути, используется то, что кто-то пользуется vbscript’ом в качестве скриптового языка в IE. Конечно, фундаментальный workaround прост – отключить его загрузку целиком, но всё же есть сценарии, когда придётся выполнять vbscript. Теперь это можно делать спокойно – выполнение vbscript’а подпадает под Attack Surface Reduction и неприятности предотвращаются.
 
В общем-то пока всё – будет выход Threshold / 10ки, будет EMET 5.5 – будет новый функционал. А пока – обновитесь на EMET 5.2 с предыдущей версии, будет только лучше. Скачать EMET можно по уже привычной короткой ссылке – www.microsoft.com/emet.
 
Удачного применения!
 

Автор

@
info@atraining.ruAdvanced Training
//cdn.atraining.ru/i/at300x300.jpg300300

Полезные статьи

Возможно, вам будет также интересно почитать другие статьи про EMET на нашей Knowledge Base: