EMET - Protezione anti-exploit avanzata per le applicazioni - Pagina 3

x_Master_x · 11-10-2013, 22:23

Ben fatto

nV 25 · 17-10-2013, 17:57

Quote:

Originariamente inviato da deepdark

Non mi sono chiare due cose:
-emet protegge contro tutti gli exploit o, come penso, solo per un tipo di esso?

Cioè, a quale tipo stai pensando?

La copertura di EMET sui processi emetizzati è generica e dovrebbe abbracciare quantomeno tutti gli exploit portati sui processi...

In poche parole, i Kernel Mode exploit presumo siano esclusi dato che dovrebbero essere coperti solo con le apposite patch a rilascio mensile...

Quote:

-se vado in un sito X che usa una vulnerabilità di firefox (o altro browser), e io l'ho emetizzato, dovrei (alla luce della prima domanda) essere protetto, ma se richiamasse Java e se non l'ho protetto a sua volta, verrei infettato?

a regola se castro l'exploit su Firefox è impedita anche l'apertura (malevola) di Java.

Detto questo, se usi Java *DEVI* proteggerne gli eseguibili per forza di cose, tant'è vero che le regole di default incorporano già quanto necessario...

Mica le hai cancellate???

Quote:

Ps. non si potrebbe fare una lista di compatibilità fatta direttamente da noi? Per esempio, firefox può essere emetizzato tranquillamente? E jdownloader?

Hai voglia te, basta contribuire

...

bondocks · 19-10-2013, 17:22

Giusto per la cronaca Emet su Windows 8.1 funziona

nV 25 · 19-10-2013, 17:34

allora siamo in 2 ad usarlo, dai...

Se ci fosse un pò più di entusiasmo si potrebbe vedere di aggiungere qualcosa alle FAQ ma, allo stato, direi che è anche troppo quello che c'è

...

gedigi · 12-11-2013, 22:05

E' disponibile EMET 4.1 http://www.microsoft.com/en-us/downl....aspx?id=41138

Gerardo

nV 25 · 12-11-2013, 22:28

Quote:

Originariamente inviato da gedigi

E' disponibile EMET 4.1 [...]

Khronos · 12-11-2013, 23:08

e non si aggiorna tramite WUS? installazione a mano sopra la 4.0? :vogliotroppo:

ARTICOLINO su Technet del Rilascio di EMET 4.1

ma non parla di update.

l'installer stesso crea %ProgramFiles(x86)%\EMET 4.1 , ovviamente la precedente è in EMET 4.0 .

non ho fatto ancora nulla, ho chiuso l'installer.

devo disinstallare a mano la vecchia?

devo provare un windows update?

helpatemi, favore.

nV 25 · 13-11-2013, 08:14

la 4.1 può essere sovrascritta (procedura che ho seguito io) altrimenti percorri il classico disinstalla/reinstalla.

Sulla mancanza di un banalissimo meccanismo di aggiornamento automatico:
è evidente che chi sviluppa il tool (figure con le °° quadrate) è più teso alla sostanza che non alla forma, altrimenti non si spiega perchè alle soglie del 2014 non ci abbiano pensato.

Ora:
se sulla sostanza non c'è possibilità di voce in capitolo per evidenti motivi, sulla forma potremmo anche farci sentire perchè migliorie potrebbero essere adottate, e infatti anch'io nel mio piccolo avrei in mente qualcosa.

Gerardo?

Può essere utile?

Khronos · 13-11-2013, 20:29

eh, un messaggino forward al team...

ezio · 27-11-2013, 14:22

Appena installata la 4.1 su Win8.1 Pro x64.
Ho attivato il profilo per la sicurezza massima (dep e sehop always on) e il rilevamento dei deep hooks per le applicazioni, al momento non sembrano esserci incompatibilità.

Funziona anche il servizio per l'utilizzo dei visual style non standard (uxstyle) e il tool per le trasparenze di esplora risorse (system transparency), pensavo che soprattutto il primo potesse dare problemi.

ezio · 27-11-2013, 14:51

Beccata un'app incompatibile con il DEP impostato su Always ON

http://fear-community.org/
Nessun problema invece con il SEHOP.

Anche disattivando tutte le mitigazioni per gli eseguibili del gioco nella scheda Apps non ne vuole sapere di partire, il processo si apre e chiude subito dopo.

nV 25 · 18-01-2014, 13:20

risultati impressionanti

a favore di EMET da uno studio indipendente,

da http://www.virusbtn.com/pdf/conferen...ela-VB2013.pdf

Notizie tratte da Tests of EMET

nV 25 · 18-01-2014, 17:02

in realtà, mi sono accorto solo da poco che l'unico studio significativo per la sua attualità è il primo essendo datato infatti 16/10/2013...

Ora edito il post, scusate

maxmax80 · 18-01-2014, 18:43

io ormai lo installo su tutti i pc che assemblo

Freddo69 · 19-01-2014, 14:39

Ragazzi io ho Windows 7 a 64 bit e un pc del 2010 ma ancora ottimo spero, questo EMET sembra un must have, mi consigliate di metterlo? Grazie
La mia configurazione è questa ma purtroppo di exploits ne ho:
http://s21.postimg.org/vz9ei5ol3/Immagine.jpg

nV 25 · 19-01-2014, 16:59

Quote:

Originariamente inviato da Freddo69

...questo EMET sembra un must have,

togli il sembra

Quote:

mi consigliate di metterlo?

alla grande

Quote:

ma purtroppo di exploits ne ho

?

Freddo69 · 19-01-2014, 17:17

rispondo al "?":

io pensavo che gli exploits fossero qualcosa di simile ai crashes, invece no e non so cosa siano, cmq lo metto e cerco di trovare il significato, grazie

edit-installato.

nV 25 · 01-02-2014, 15:59

Uppino

nV 25 · 13-02-2014, 12:37

Se qualcuno avesse aggiornato VLC alla versione 2.1.3, si sarà sicuramente accorto che EMET ne impedisce l'esecuzione.

L'ostacolo, cmq, si aggira velocemente rimuovendo l'apposito flag alla mitigazione che da noia (SimExecFlow).

E' evidente però che questa strada debba essere considerata come temporanea dato che si aumenta inevitabilmente il grado di libertà concesso a VLC e quindi, di riflesso, il margine di manovra concesso all'eventuale exploit che sfrutti proprio questo player per i propri scopi.

In altri termini, se rilassare un settaggio ad un programma di per se significa poco, si deve considerare che cosi' facendo si va ad incidere sul rischio (di infezione) cui è soggetta la macchina.

Vlc 2.1.3 is stopped by EMET 4.1 ...
VLC V2.1.3 crashes with MS EMET

nV 25 · 25-02-2014, 12:54

Bypassing EMET 4.1

full technical whitepaper.pdf

La prima lezione che si ricava è che, nel momento in cui viene definito un obiettivo preciso da attaccare, questo prima o poi cede.

Attenzione xò a non cadere nel facile tranello che vede giustificare l'inutilità del tool in questione dal fatto che è (e sarà sempre) bypassabile da un attacco mirato vuoi perchè per portarlo a termine è richiesto uno sforzo intellettuale non comune dato che il tool va ad innalzare significativamente l'asticella della complessità richiesta per sferrare un attacco aumentando di conseguenza il "costo" sotteso allo sviluppo di un exploit di questo tipo, vuoi perchè il mondo reale è molto più semplice e, in questo mondo, EMET riesce a farsi valere,
CVE-2014-0322

"The Enhanced Mitigation Experience Toolkit (EMET) is also an effective way to block the targeted attacks we have analyzed.
This particular exploit explicitly checks for EMET and refuses to run on any system where EMET is installed.
However, even with the exploit’s EMET check removed, the default configuration of EMET blocks the attack.
In this particular case, EMET’s EAF and Anti-Detour features block the exploit in the default EMET configuration.
With EMET’s “Deep Hooks” feature enabled, the MemProt, StackPivot, and CallerCheck features each independently are capable of blocking this exploit.
We are pleased to see EMET continuing to provide protection for a significant portion of memory corruption exploits today.
On that note, we found that in the second half of 2013, all in-the-wild exploits that we encountered that have leveraging memory corruption for code execution were blocked by EMET!"

Poichè cmq il bypass è stato comunicato per tempo a MS, è attesa a breve giro di boa una nuova versione che va a risolvere i problemi evidenziati.

Alcuni ricercatori sconfiggono le difese dell'antiexploit Microsoft EMET

11-10-2013, 22:23	#41
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8685	Ben fatto __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

19-10-2013, 17:34	#44
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	allora siamo in 2 ad usarlo, dai... Se ci fosse un pò più di entusiasmo si potrebbe vedere di aggiungere qualcosa alle FAQ ma, allo stato, direi che è anche troppo quello che c'è ... Ultima modifica di nV 25 : 20-10-2013 alle 11:44.

12-11-2013, 23:08	#47
Khronos Senior Member Iscritto dal: Jan 2007 Città: quel ramo del lago di como, che volge a mezzogiorno... ^^ Messaggi: 19624	e non si aggiorna tramite WUS? installazione a mano sopra la 4.0? :vogliotroppo: ARTICOLINO su Technet del Rilascio di EMET 4.1 ma non parla di update. l'installer stesso crea %ProgramFiles(x86)%\EMET 4.1 , ovviamente la precedente è in EMET 4.0 . non ho fatto ancora nulla, ho chiuso l'installer. devo disinstallare a mano la vecchia? devo provare un windows update? helpatemi, favore. __________________ Modding Grafico di Win XP e prec. \| 4 giga di ram e 32bit. Khro, on deviantart; Test Ram by Tut;Lista Live cd. Ultima modifica di Khronos : 12-11-2013 alle 23:17.

13-11-2013, 20:29	#49
Khronos Senior Member Iscritto dal: Jan 2007 Città: quel ramo del lago di como, che volge a mezzogiorno... ^^ Messaggi: 19624	eh, un messaggino forward al team... __________________ Modding Grafico di Win XP e prec. \| 4 giga di ram e 32bit. Khro, on deviantart; Test Ram by Tut;Lista Live cd.

27-11-2013, 14:22	#50
ezio Senior Member Iscritto dal: Apr 2001 Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà! Messaggi: 26480	Appena installata la 4.1 su Win8.1 Pro x64. Ho attivato il profilo per la sicurezza massima (dep e sehop always on) e il rilevamento dei deep hooks per le applicazioni, al momento non sembrano esserci incompatibilità. Funziona anche il servizio per l'utilizzo dei visual style non standard (uxstyle) e il tool per le trasparenze di esplora risorse (system transparency), pensavo che soprattutto il primo potesse dare problemi. __________________ Ezio Lacandia on DeviantArt \| Slimkat mod per N4 e N5 \| Trattative mercatino HWU \| Driver nForce NET Framework [Guida] \| BSOD individuazione cause \| Guida Sintetica Strap/Divisori P45 \| Fix associazioni Vista/7 Problemi Win Installer \| Avviare programmi senza richiesta UAC \| Problemi Font \| Guida Raccolte 7 \| Win 32/64bit come perchè

19-10-2013, 17:22	#43
bondocks Senior Member Iscritto dal: Aug 2009 Messaggi: 638	Giusto per la cronaca Emet su Windows 8.1 funziona

12-11-2013, 22:05	#45
gedigi Junior Member Iscritto dal: Jun 2013 Messaggi: 2	E' disponibile EMET 4.1 http://www.microsoft.com/en-us/downl....aspx?id=41138 Gerardo

13-11-2013, 08:14	#48
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	la 4.1 può essere sovrascritta (procedura che ho seguito io) altrimenti percorri il classico disinstalla/reinstalla. Sulla mancanza di un banalissimo meccanismo di aggiornamento automatico: è evidente che chi sviluppa il tool (figure con le °° quadrate) è più teso alla sostanza che non alla forma, altrimenti non si spiega perchè alle soglie del 2014 non ci abbiano pensato. Ora: se sulla sostanza non c'è possibilità di voce in capitolo per evidenti motivi, sulla forma potremmo anche farci sentire perchè migliorie potrebbero essere adottate, e infatti anch'io nel mio piccolo avrei in mente qualcosa. Gerardo? Può essere utile?

27-11-2013, 14:51	#51
ezio Senior Member Iscritto dal: Apr 2001 Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà! Messaggi: 26480	Beccata un'app incompatibile con il DEP impostato su Always ON http://fear-community.org/ Nessun problema invece con il SEHOP. Anche disattivando tutte le mitigazioni per gli eseguibili del gioco nella scheda Apps non ne vuole sapere di partire, il processo si apre e chiude subito dopo. __________________ Ezio Lacandia on DeviantArt \| Slimkat mod per N4 e N5 \| Trattative mercatino HWU \| Driver nForce NET Framework [Guida] \| BSOD individuazione cause \| Guida Sintetica Strap/Divisori P45 \| Fix associazioni Vista/7 Problemi Win Installer \| Avviare programmi senza richiesta UAC \| Problemi Font \| Guida Raccolte 7 \| Win 32/64bit come perchè

18-01-2014, 13:20	#52
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	risultati impressionanti a favore di EMET da uno studio indipendente, da http://www.virusbtn.com/pdf/conferen...ela-VB2013.pdf Notizie tratte da Tests of EMET Ultima modifica di nV 25 : 18-01-2014 alle 17:03.

18-01-2014, 17:02	#53
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	in realtà, mi sono accorto solo da poco che l'unico studio significativo per la sua attualità è il primo essendo datato infatti 16/10/2013... Ora edito il post, scusate

18-01-2014, 18:43	#54
maxmax80 Senior Member Iscritto dal: Jan 2010 Città: Milan Messaggi: 9802	io ormai lo installo su tutti i pc che assemblo

19-01-2014, 14:39	#55
Freddo69 Bannato Iscritto dal: Oct 2010 Città: Trieste Messaggi: 281	Ragazzi io ho Windows 7 a 64 bit e un pc del 2010 ma ancora ottimo spero, questo EMET sembra un must have, mi consigliate di metterlo? Grazie La mia configurazione è questa ma purtroppo di exploits ne ho: http://s21.postimg.org/vz9ei5ol3/Immagine.jpg

19-01-2014, 17:17	#57
Freddo69 Bannato Iscritto dal: Oct 2010 Città: Trieste Messaggi: 281	rispondo al "?": io pensavo che gli exploits fossero qualcosa di simile ai crashes, invece no e non so cosa siano, cmq lo metto e cerco di trovare il significato, grazie edit-installato. Ultima modifica di Freddo69 : 20-01-2014 alle 13:03. Motivo: ultimo rigo

01-02-2014, 15:59	#58
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Uppino Ultima modifica di nV 25 : 01-02-2014 alle 18:04.

13-02-2014, 12:37	#59
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Se qualcuno avesse aggiornato VLC alla versione 2.1.3, si sarà sicuramente accorto che EMET ne impedisce l'esecuzione. L'ostacolo, cmq, si aggira velocemente rimuovendo l'apposito flag alla mitigazione che da noia (SimExecFlow). E' evidente però che questa strada debba essere considerata come temporanea dato che si aumenta inevitabilmente il grado di libertà concesso a VLC e quindi, di riflesso, il margine di manovra concesso all'eventuale exploit che sfrutti proprio questo player per i propri scopi. In altri termini, se rilassare un settaggio ad un programma di per se significa poco, si deve considerare che cosi' facendo si va ad incidere sul rischio (di infezione) cui è soggetta la macchina. Vlc 2.1.3 is stopped by EMET 4.1 ... VLC V2.1.3 crashes with MS EMET

25-02-2014, 12:54	#60
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Bypassing EMET 4.1 full technical whitepaper.pdf La prima lezione che si ricava è che, nel momento in cui viene definito un obiettivo preciso da attaccare, questo prima o poi cede. Attenzione xò a non cadere nel facile tranello che vede giustificare l'inutilità del tool in questione dal fatto che è (e sarà sempre) bypassabile da un attacco mirato vuoi perchè per portarlo a termine è richiesto uno sforzo intellettuale non comune dato che il tool va ad innalzare significativamente l'asticella della complessità richiesta per sferrare un attacco aumentando di conseguenza il "costo" sotteso allo sviluppo di un exploit di questo tipo, vuoi perchè il mondo reale è molto più semplice e, in questo mondo, EMET riesce a farsi valere, CVE-2014-0322 "The Enhanced Mitigation Experience Toolkit (EMET) is also an effective way to block the targeted attacks we have analyzed. This particular exploit explicitly checks for EMET and refuses to run on any system where EMET is installed. However, even with the exploit’s EMET check removed, the default configuration of EMET blocks the attack. In this particular case, EMET’s EAF and Anti-Detour features block the exploit in the default EMET configuration. With EMET’s “Deep Hooks” feature enabled, the MemProt, StackPivot, and CallerCheck features each independently are capable of blocking this exploit. We are pleased to see EMET continuing to provide protection for a significant portion of memory corruption exploits today. On that note, we found that in the second half of 2013, all in-the-wild exploits that we encountered that have leveraging memory corruption for code execution were blocked by EMET!" Poichè cmq il bypass è stato comunicato per tempo a MS, è attesa a breve giro di boa una nuova versione che va a risolvere i problemi evidenziati. Alcuni ricercatori sconfiggono le difese dell'antiexploit Microsoft EMET

Strumenti
Mostra una versione stampabile Invia questa pagina per email