2010-09-06

"Enhanced Mitigation Experience Toolkit", vad är det??

"Enhanced Mitigation Experience Toolkit", ett kort och enkelt namn som så klart även har en bra förkortning, "EMET"....
Det är ett verktyg som används för att minska risken för att en hacker skall kunna utnyttja buggar och liknande i applikationer innan patchar är släppta (och installerade) för att rätta till buggarna.

Microsoft gick ut med information om denna produkt (som är gratis) i Juli 2010 under Black Hat 2010 konferensen i Las Vegas.

Grunden i EMET är att stoppa möjligheten att utnyttja buggar. Deta gör man genom att aktivera skydd per applikation (eller rättare sagt, per exekverbar fil). Verktyget supporterar både 32-  och 64-bits applikationer och har nu fått ett nytt gränssnitt som visar hur EMET är aktivt för varje applikation.


När man laddat ned verktyget får man en user guide på startmenyn som förklarar hur vektyget används.

Support för
Klientoperativsystems

• Windows XP servicepack 3 och högre
• Windows Vista servicepack 1 och högre
• Windows 7 alla servicepacks

Server Operativsystems
• Windows Server 2003 servicepack 1 och högre
• Windows Server 2008 alla servicepacks
• Windows Server 2008 R2 alla servicepacks

Själva verktyget laddar man ned här

Det finns mer att läsa om verktyget här, här och en bra forum tråd här

Lite bra information:
It adds the following mitigations to applications that do not support them natively:
• Structured Error Handling Overwrite Protection (SEHOP) prevents Structured Exception Handling (SEH) overwrite exploitation by performing SEH chain validation.
• Dynamic Data Execution Prevention marks portions of a process’s memory non-executable, making it difficult to exploit memory corruption vulnerabilities.
• NULL page allocation allocates the first page of memory before program initialization and blocks attackers from taking advantage of NULL references in user mode.
• Heap Spray Allocation pre-allocates memory addresses to block common attacks that fill a process’s heap with specially crafted content.
• New in EMET 2.0 is mandatory address space layout randomization (ASLR), as well as non-ASLR-aware modules on Windows Vista, Windows Server 2008 and Windows 7.
• Also new in EMET 2.0, export address table (EAT) uses hardware breakpoints to filter access to the EAT of kernel32.dll and ntdll.dll, blocks access if the instruction pointer is not inside a module, and breaks current common metasploit shellcodes.

Microsoft warns that some security mitigation technologies may break applications and reminds users that it’s important to thoroughly test EMET in all target use scenarios before rolling it out to a production environment.

Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...