EMET 5.0 kann jetzt Prozessen den Zugriff auf Plug-ins verbieten und sch�tzt besser gegen ROP-Angriffe. Die neue Version kann ab sofort kostenlos heruntergeladen werden.
Microsoft hat Version 5.0 des Windows-Schutzschildes EMET [1] ver�ffentlicht. Damit lassen sich zus�tzliche Schutzmechanismen in Windows aktivieren, die das Ausnutzen von Schwachstellen erschweren sollen. Die gr��te Neuerung ist "Attack Surface Reduction" (ASR) ? eine Funktion mit der man festlegen kann, welche Prozesse auf welche Plug-ins zugreifen d�rfen. So kann man zum Beispiel Word verbieten, das Flash-Plug-in zu laden oder Java im Internet Explorer nur auf Webseiten der Intranet-Zone laden.
EMET 5.0 kann kostenlos von Microsofts Webseite heruntergeladen werden [2] und l�uft auf Windows Vista, 7 und 8 sowie Server 2003 bis 2012. Das Tool wird unter anderem von Firmen eingesetzt, um bei bekannten Problemen mit einer Software Angriffe auf diese zu minimieren, bis ein Patch eingespielt werden kann.
Neben ASR bringt die neue Version ebenfalls eine Verbesserung der Schutzfunktion Export Address Table Filtering (EAF) mit, die damit jetzt Export Address Table Filtering Plus hei�t. Export-Address-Tabellen werden bei Angriffen mittels Return Oriented Programming (ROP) genutzt, denn sie liefern Angreifern wertvolle Hinweise darauf, an welchen Speicheradressen etwa Systembibliotheken abgelegt sind. Bei ROP-Angriffen nutzen Angreifer Funktionen aus diesen Bibliotheken, um sich ihren Schadcode zusammen zu puzzeln. EAF schr�nkt den Zugriff auf diese Tabellen ein und erschwert so ROP-Angriffe. Mit EMET 5.0 weitet Microsoft diesen Schutz neben den Bibliotheken kernel32.dll und ntdll.dll auch auf die Exports der kernelbase.dll aus.
Nach erfolgreichen Angriffen auf EMET 4.1 hat Microsoft den Code des Tools weiter geh�rtet, um es Angreifern zu erschweren, EMET selbst anzugreifen. Nach wie vor verfolgt man mit der Software vor allem das Ziel, die Kosten f�r die Entwicklung wirkungsvoller Windows-Exploits in die H�he zu treiben. Wirklich hartn�ckige Angriffe kann auch EMET oft nicht verhindern. (fab [3])
Keine Kommentare:
Kommentar veröffentlichen