EMET - Enhanced Mitigation Experience Toolkit

[preter]

Super, że cały czas rozwijają to narzędzie. Z każdą kolejną wersją jest coraz lepsze.

Jedyne narzędzie ze stajni MS, którego rozwój wzbudza mój autentyczny entuzjazm i któremu kibicuję.

Ja osobiście kibicuję jeszcze systemowi Windows oraz pakietowi Office.

[buri]

Przestawiłem... problemów żadnych na Windows 8 nie miałem. Na poprzednim laptopie i Windows 7 zawsze kończyło się to BSOD przy starcie.

Zaryzykowałem to samo na Win7 i wszystko działa bez problemu - system się odpalił i nic nie wysypało. Wiem tylko, że takie ustawienia są kłopotliwe dla starych gier, ale takim to lepiej wyłączyć wszystkie zabezpieczenia czasami.

[Konto usunięte]

To jest fakt. U mnie przykładowo nie działa Jagged Alliance, nawet bez ASLR na całości. Trzeba przywrócić domyślny poziom w całym EMEcie i dopiero wtedy rusza.

[buri]

Właśnie mam pytanie, czy jeśli wszystkie programy, które się łączą z netem mam ustawione oddzielnie na full to chyba, nie będzie aż takie różnicy obniżając zabezpieczenia ogólne do rekomendowanych. Jednak wolę wykluczyć problemy z aplikacjami pojedynczymi. Tak jak wspomniane wyżej, choć nie wiem jak jest teraz, ustawiałem kiedyś oddzielnie aplikację, aby nie miała nic włączone, a jednak nie pomagało. Całość jednak czasami narzuca za dużo ograniczeń i kłopotów dla starszych programów takich jak gry.

[Konto usunięte]

Czy ktoś się spotkał z komunikatem o wykryciu przez EMET "SimExecFlow mitigation" przy uruchamianiu Internet Explorera?
Mam to na wersji 10 i kończy się to błędem w IE / zamknięciem przeglądarki. System jest na pewno czysty.
Objawia się to na Win8 x64 i ostatniej becie EMETa.

[Konto usunięte]

Problem rozwiązany - dzisiaj zaważyłem, że IE działa prawidłowo.
Jedyna różnica to usunięty Comodo. To on powodował jakiś konflikt.

[ichito]

Problem rozwiązany - dzisiaj zaważyłem, że IE działa prawidłowo.
Jedyna różnica to usunięty Comodo. To on powodował jakiś konflikt.

To na pewno było Comodo...ten sam przypadek jest skomentowany tu (#35)...sorry, dopiero dziś się na to natknąłem

[Aby zobaczyć linki, zarejestruj się tutaj]

[ktośtam]

Wydana została stabilna wersja 4 ze zmienionym interface:

[Aby zobaczyć linki, zarejestruj się tutaj]

Configuration Wizard : We know that configuration can be challenging when installing EMET for the first time. In EMET 3.0 we added the Protection Profiles, which were used to facilitate the initial configuration for applications. With EMET 4.0 we are introducing a Configuration Wizard that will automatically configure EMET with a standard set of SSL certificate pinning rules as well as a list of applications to protect. It also can preserve existing EMET 3.0 settings, and gives the possibility to add standard configuration for the new features. The Configuration Wizard will start automatically during EMET’s installation and can also be accessed, at any time, from EMET GUI. Advanced users can choose to apply a standard configuration through the Configuration Wizard and then customize EMET’s configuration afterwards according to their needs.

Changes in Certificate Trust : We made a few changes to the Certificate Trust feature, based on users’ feedback, further internal investigation, and partnership with third party online services. We added a new exception to the SSL certificate pinning rules that if enabled will make EMET verify just the Public Key component of the Root CAs present in the rule without matching subject name and serial number. Additionally, we made the Certificate Trust feature available on 64-bit versions of Internet Explorer. Finally, we added to the previous default rules for Microsoft online services new rules also for Twitter, Facebook, and Yahoo!.

Updated Group Policy profiles : Enterprise customers will notice that we updated our Group Policy profiles to include not only the ability to configure system and application mitigations, but also the reporting mechanisms, the advanced mitigation configurations, and the exploit action.

Istotna informacja dla migrujących z wersji 4.0 Beta oraz 3.5 TP:

If you have EMET 4.0 Beta or EMET 3.5 Technical Preview installed on the system, you will need to uninstall them before installing EMET 4.0, and you will need to remove EMET’s configuration from the registry, by deleting the registry hives HKLM\Software\Microsoft\EMET and, if existing, HKLM\Software\Policies\Microsoft\EMET. If you have EMET 3.0 installed on the system, you don’t need to uninstall it before installing EMET 4.0. The previous version will be uninstalled and at the end of the installation you’ll have the opportunity to migrate the existing settings or to reset EMET configuration with the new default settings.

Pobieranie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

[buri]

Dobrze,że dodali skórki bo ten podstawowy wygląd na początek jest okropny Ładnie się program rozwija i oby tak dalej.

[nightwhiteghost]

Czy ktoś z was używa Emet 4.0 i ma problemy?
A mianowicie taki że w EMET''cie jest dodana aplikacja [jakakolwiek]a w zakładce "Running EMET" nie ma "zielonego ptaszka"? [Emet nie działa poprawnie u mnie tak jakby się w ogóle nie ładował]
Ktoś umie bądź naprawiał ten problem u siebie?
PS: Mam Windows 8.1 x64

[Konto usunięte]

Używam na win 8.1 x64 no i nie mam z nim żadnych problemów. Wszystko jest w porządku. Z tym, że nie wiem jak z ręcznie dodanymi aplikacjami, postaram się sprawdzić i dam znać. Ogólne ustawienia mam na max. ochronę.

[nightwhiteghost]

No ja po czystym zainstalowaniu windowsa 8.1, wszelkich programów i aktualizacji systemu zainstalowałem EMET 4.0 i żaden program nawet ten dodany przez sam EMET nie jest chroniony "nie mam zielonego znaczka"... Niewiem jak to naprawić... jeśli się oczywiście da...
Edit: Po przestawieniu na max problem nadal nie znika

[Konto usunięte]

U mnie wszystko gra, dodałem chrome i śmiga:

[Aby zobaczyć linki, zarejestruj się tutaj]

[nightwhiteghost]

Mój screen...

[Aby zobaczyć linki, zarejestruj się tutaj]

Edit : Dodałem WinRar''a i działa ale jak dodaje IE albo coś innego to nie działa nie wiem o co chodzi...

[zord]

Dostępna jest nowa wersja Enhanced Mitigation Experience Toolkit 4.1

Today’s EMET 4.1 release includes new functionality and updates, such as:

Updated default protection profiles, Certificate Trust rules, and Group Policy Object configuration.
Shared remote desktop environments are now supported on Windows servers where EMET is installed.
Improved Windows Event logging mechanism allows for more accurate reporting in multi-user scenarios.
Several application-compatibility enhancements and mitigation false positive reporting.

Więcej o tej wersji:

[Aby zobaczyć linki, zarejestruj się tutaj]

Pobieranie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Kilkanaście zaledwie godzin temu informowałem na forum o

[Aby zobaczyć linki, zarejestruj się tutaj]

, i zapowiedziach prac nad kolejną wersją "5", a już mam przyjemność poinformować, że właśnie ukazała się taka wersja robocza pod nazwą EMET 5.0 Technical Preview . Informację tę opublikowano na blogu Microsoftu Technet.com i oczywiście podano pierwsze szczegóły dotyczące nowej wersji oraz przyczynki jej powstania...nie omieszkano podziękować również analitykom m.in. Bromium Lab
Krótkie informacje na temat nowości w tej wersji cytuję bezpośrednio za autorami oryginalnego tekstu

Today, we are thrilled to announce a preview release of the next version of the Enhanced Mitigation Experience Toolkit, better known as EMET. You can download EMET 5.0 Technical Preview here. This Technical Preview introduces new features and enhancements that we expect to be key components of the final EMET 5.0 release. We are releasing this technical preview to gather customer feedback about the new features and enhancements.
(...)
As mentioned, this Technical Preview release implements new features to disrupt and block the attacks that we have detected and analyzed over the past several months. The techniques used in these attacks have inspired us with new mitigation ideas to disrupt exploitation and raise the cost to write reliable exploits. The EMET 5.0 Technical Preview also implements additional defensive mechanisms to reduce exposure from attacks.

The two new features introduced in EMET 5.0 Technical Preview are the Attack Surface Reduction (ASR)and the Export Address Table Filtering Plus (EAF+) . Similar to what we have done with EMET 3.5 Technical Preview, where we introduced a new set of mitigations to counter Return Oriented Programming (ROP), we are introducing these two new mitigations and ask for your feedback on how they can be improved. Of course, they are a “work in progress.” Our goal is to have them polished for the final version of EMET 5.0.

Let’s see in detail what these two new mitigations do, and the reasoning that led us to their implementation.

[Aby zobaczyć linki, zarejestruj się tutaj]

Attack Surface Reduction

In mid-2013, we published a Fix it solution to disable the Oracle Java plug-in in Internet Explorer. We received a lot of positive feedback and a number of suggestions on how we could improve the Fix it. The most recurring suggestion we received was to allow the Oracle Java plug-in on intranet websites, which commonly run Line-of-Business applications written in Java, while blocking it on Internet Zone websites. In addition to that Java-related customer feedback, we have also seen a number of exploits targeting the Adobe Flash Player plug-in. For example, the RSA breach was enabled by an Adobe Flash Player exploit embedded inside a Microsoft Excel file and a number of targeted attacks have been carried out by Adobe Flash Player exploits embedded in Microsoft Word documents, as described by Citizen Lab. We decided to design a new feature that can be used to mitigate similar situations and to help to reduce the attack surface of applications. We call this feature Attack Surface Reduction (ASR), and it can be used as a mechanism to block the usage of a specific modules or plug-ins within an application.
(...)
EAF+

We also added new capabilities to the existing Export Address Table Filtering (EAF). EAF+ consolidates protection of lower-level modules and prevents certain exploitation techniques used to build dynamic ROP gadgets in memory from export tables. EAF+ can be enabled through the “Mitigation Settings” ribbon. When EAF+ is enabled, it will add the following additional safeguards over-and-above the existing EAF checks:

Add protection for KERNELBASE exports in addition to the existing NTDLL.DLL and KERNEL32.DLL

Perform additional integrity checks on stack registers and stack limits when export tables are read from certain lower-level modules

Prevent memory read operations on protected export tables when they originate from suspicious modules that may reveal memory corruption bugs used as “read primitives” for memory probing
(...)
he screenshot below shows the exploit for CVE-2014-0322 in action on Internet Explorer protected by EMET 5.0 Technical Preview with only EAF+ enabled.

[Aby zobaczyć linki, zarejestruj się tutaj]

Other improvements

This Technical Preview enables the “Deep Hooks” mitigation setting. We have been working with third-party software vendors whose products do not run properly with Deep Hooks enabled. We believe these vendors have resolved the application compatibility issues that previously existed with Deep Hooks enabled. We enable Deep Hooks in the Technical Preview to evaluate the possibility of having this setting turned on by default in the final EMET 5.0 release because it has proven to be effective against certain advanced exploits using ROP gadgets with lower level APIs. We have also introduced some additional hardening to protect EMET’s configuration when loaded in memory, and fixed several application compatibility issues including a common one that involves Adobe Reader and the “MemProt” mitigation.

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

Kompatybilność z programami nadal nie poprawiona, i jak ręcznie nie wyłączymy SEHOP dla Windows Media Playera to nie odtworzy żadnego filmu. Internet Explorer nadal wisi w pamięci po zamknięciu.

[Miquell]

zord , dzięki za info!

[zbc]

EMET 5.0 blokuje....uruchamianie firefoxa

Mechanizm odpowiedzialny za blokowanie uruchomienia firefoxa: SimExecFlow

No i jeszcze ikonka z paska zadań znikła

[buri]

Finalna wersja ma się pojawić jakoś w kwietniu czy dobrze kojarzę, bo znowu chcę mu dać szansę.