Microsoft Emet 4.0

Die Beta-Phase des Enhanced Mitigation Experience Toolkit ist abgeschlossen und die endgültige Version 4.0 des EMET-Tools von Microsoft ist ab sofort verfügbar. Netz-Framework 4.0 auf Ihrem Computer.

Microsoft: Das Toolkit 4.0 für die erweiterte Minderungserfahrung ist abgeschlossen.

Eine neue Produktversion des Microsoft Enhanced Mitigation Experience Toolkit, kurz EMET, wurde veröffentlicht. So können z. B. Sachbearbeiter oder Entwickler das Risiko von Sicherheitsschwachstellen in anderen Anwendungen minimieren. Microsoft weist mitunter auch auf die Verwendung von EMET hin. Dies war im vergangenen Jahr der fall, als eine unerwartete Schwachstelle die Bereiche 7, 8 und 9 der Internetexplorer beeinträchtigte und es Schwachstellen gab, bevor Microsoft die Schwachstelle schliessen konnte.

Firmen, die z. B. den Internetexplorer für ihre Tools benötigen, konnten ihn mit erheblich reduziertem Aufwand weiter nutzen. Mit der neuen V4. 0 ist es nun auch für Windows 8 und für den Internetexplorer 10 möglich. Für gängige Services wie z. B. WLAN, Skype, Facebook, Tweets und Yahoo sind bereits Sonderregeln hinterlegt. Außerdem sind Richtlinien für Microsoft hinterlegt.

Die Nutzer von EMET können nun auch mittelbar von dem eingebauten Frühwarnsystem mitwirken. Mit EMET können Attacken, die in der V4. 0 entdeckt wurden, an Microsoft gesendet werden. Auch die Benutzeroberfläche wurde von Microsoft neu gestaltet, um die Handhabung zu erleichtern. Wenn Sie EMET 4.0 downloaden möchten, finden Sie die entsprechende Anwendung im Downloadbereich von Microsoft. Die Server-Versionen 2003, 2008, 2008, 2008, 2008 und 2012 können auch für die neue Notfallversion eingesetzt werden.

Erweitertes Microsoft Mitigation Experience Toolkit EMET 3.5 Tech Preview/4.0 Beta ASLR Bypass Fehlerkonfiguration

In Microsoft Enhanced Mitigation Experience Toolkit EMET 3.5 Tech Preview/4.0 Beta wurde eine Sicherheitslücke aufgedeckt. Dies betrifft eine unklare Funktionalität der Komponenten ASLR. Die Sicherheitslücke wurde von CWE als CWE-200 eingestuft, mit Folgen für die Intaktheit. Das Sicherheitsrisiko wurde am 17.06.2013 von Yu Yang von NSFocus als Microsoft EMET ASLR Mechanism Tampering Vulnerability in Gestalt einer Bestätigungsnachricht (Website) veröffentlicht.

In Kooperation mit Microsoft wurde eine Publikation anstrebt. Dabei gibt es keine technischen Einzelheiten, aber ein öffentliches Ausnutzen ist über die Sicherheitslücke bekannt. Die Beratung hat Darauf Hin besucht: Seit der EMET 3.5 Tech Vorschau verbessert EMET den RDP-Schutz durch Hook-Funktionen und andere Methoden. Mais, der den Sprungcode für Inline Hook im Speicherblock mit der festen Adresse 0x6ffff0000000000 speichert.

Dieser Bereich speichert eine Reihe von physikalischen Adressen der angeschlossenen Funktionen, und der Offset ist fest eingestellt. EMET stellt also Adressen zur Verfügung, die für ROP leichter verwendbar sind, während die System-API verbunden wird, um ROP zu umgehen. Sie adressiert die Adressen immer fest und sogar unabhängig von den Auswirkungen der ASLR. Die Angreifer können diese festen Adressen verwenden, um RDP-Angriffe direkt zu starten, ohne ASLR zu berücksichtigen.

Drei Tage nach der Beratung wurde ein Schwachpunkt bekannt gegeben. Am 03.12.2013 wurde für den Schwachstellen-Scanner Nessus ein Plug-in mit der ID 71176 (Microsoft EMET 3.x >= 3.5 / 4.x < 4.0.4913.26122 ASLR Security Bypass) freigegeben, mit dem die Existenzberechtigung der Sicherheitslücke überprüft werden kann. Sie können eine neue Fassung unter microsoft.com erhalten.