EMET 5.0 kończy z ochroną Windows XP, ale nowsze „okienka” zabezpieczy znacznie lepiej

W minionym tygodniu eksperci z firmy Bromium Labs pochwalili sięobejściem wszystkich zabezpieczeń kluczowego dla bezpieczeństwasystemów z rodziny Windows zestawu narzędzi rozszerzonegośrodowiska ograniczającego ryzyko (EMET), w aktualnej wersji 4.1.Odkryte przez nich luki i metody ataku zostały oczywiście wcześniejudostępnione Microsoftowi, który zdołał przygotować niezbędnepoprawki. Debiutują one w wersji 5.0 EMET-a, dostępnego już dopobrania jako Technical Preview ze stron Technetu.

Poprzednia wersja EMET-u przynosiła dwanaście mechanizmów,tworzących dodatkową warstwę ochronną dla systemu operacyjnego,pozwalającą zablokować działanie wielu exploitów, które wniezabezpieczonym Windows robiły co chciały. Do momentuopublikowania pracy Bromium Labs nieznane były ataki pozwalające naporadzenie sobie ze wszystkimi mechanizmami ochronnymi – autoromexploitów zainteresowanym dostaniem się do maszyn chronionychEMET-em pozostawało liczyć na to, że nie wszystkie one będąwłączone.

Wersja 5.0, której Technical Preview udostępniony zostałwłaśnie na stronach Technet Security Center, oprócz usunięcialuk, które pozwoliły na przeniknięcie zabezpieczeń wersji 4.1,wprowadza dodatkowy mechanizm ochronny i znacząco ulepsza jeden zjuż istniejących. Tym nowym jest Attack Surface Reduction (ASR),który pozwala na blokowanie automatycznego ładowania wtyczek przezaplikacje. W ten sposób można uniemożliwić uruchomienie Flasha wAdobe Readerze czy Javy w Internet Explorerze, w zależności odpochodzenia danego zasobu (np. dopuszczając uruchamianie wtyczek dlatreści z lokalnego intranetu). Domyślna konfiguracja EMET-uzabezpiecza w ten sposób Internet Explorera, Worda i Excela, nicjednak nie stoi na przeszkodzie, by ochroną ASR objąć też inneaplikacje dla Windows.

Znacznie ulepszono mechanizm Export Address Table Filtering (EAF),który teraz otrzymał nazwę EAF+. Jest on domyślnie włączony iwprowadza ochronę dla eksportów kernelbase.dll, w dodatku dojuż wcześniej zapewnianej ochrony dla kernel32.dll intdll.dll. Przeprowadza też dodatkowe testy rejestrów stosupodczas odczytywania tablic eksportu przez niskopoziomowe modułysystemu i blokuje operacje odczytu pamięci chronionych tabel, jeślipochodziłyby one od podejrzanych modułów, próbujących wykryćuszkodzenia pamięci.

Dodatkowo EMET 5.0 włącza domyślnie zabezpieczenie Deep Hooks,które w poprzednich wydaniach było wyłączone ze względu naproblemy z kompatybilnością z aplikacjami firm trzecich (wszczególności Adobe Readerem).

Jak można się było jednak tego spodziewać, EMET 5.0 kończy zewsparciem dla Windows XP. Najstarszymi kompatybilnymi z nim systemamioperacyjnymi Microsoftu są Windows Server 2003 SP2 i Windows VistaSP2. Do działania zestaw narzędzi wymaga instalacji .NET Frameworku4, a do ochrony Internet Explorera 10 na Windows 8 – zainstalowaniapoprawki KB2790907, rozprowadzanej przez Windows Update.

EMET 5.0 Technical Preview można pobrać za darmo tutaj.