Security Week 45: побег из песочницы, обход EMET через WOW64, взлом 000webhost

Автор: admin от 6-11-2015, 12:49, посмотрело: 1012

Security Week 45: побег из песочницы, обход EMET через WOW64, взлом 000webhostЦитаты из книги Евгения Касперского, которые я прикладываю к каждому новостному дайджесту, хорошо показывают ландшафт угроз по состоянию на начало 90-х годов прошлого века, а точнее — расположение темы ИБ по отношению к остальному миру. Примерно до начала двухтысячных, до появления первых массовых эпидемий все еще довольно простых зловредов, информационная безопасность воспринималась как нечто еще более сложное, чем IT в целом. Хорошие были времена, но они закончились. В середине десятых киберугрозы обсуждают все: научные работники, парламентарии и даже звезды эстрады. Это хорошо заметно по октябрьским дайджестам самых популярных новостей: сначала мы ударились в теорию криптографии, а потом внезапно перескочили в законодательство. И, таки да, приходится: все это так или иначе влияет на киберпространство, пусть и не прямо сейчас.

Но вообще-то, вообще-то, практическая безопасность как была сложной чисто технической темой, так и осталась. Ландшафт угроз нельзя адекватно оценить, если смотреть только на реакцию общества или только на научные исследования. Те самые законопроекты — они важны, но с практикой имеют мало общего. Они и с IT в целом связаны только потому, что их текст набирался на компьютере в ворде. Это не то чтобы великое открытие, но явный намек: неплохо было бы соблюдать баланс. Отрадно, что на этой неделе все самые популярные новости — как раз из практической сферы. Никакой политики, никаких угроз, потенциально эксплуатируемых лет через пятнадцать. Все здесь и сейчас, как мы любим. До здравствует умеренный хардкор. Уииии!
Предыдущие серии живут здесь

Категория: Информационная безопасность

 

EMET 5.0 вышел в релиз

Автор: admin от 31-07-2014, 17:25, посмотрело: 990

Компания Microsoft выпустила в релиз пятую версию инструмента EMET (EMET 5.0), о котором мы подробно писали здесь и здесь. Релизная версия заменяет собой EMET 5.0 Technical Preview 3, который был доступен пользователям до выхода этой версии в релиз. На новых технических возможностях EMET 5.0 мы подробно останавливались здесь, они включают в себя механизмы Attack Surface Reduction (ASR) и Export Address Table Filtering Plus (EAF+). Кроме этого, разработчики добавили более дружественный интерфейс (впервые был введен в EMET 5.0 TP3). Теперь вместо сухих таблиц с галочками, которые включают необходимые опции безопасности, по двойному щелчку на процессе можно посмотреть включенные для него опции с их минимальным разъяснением.

EMET 5.0 вышел в релиз

Инструмент EMET является бесплатным в использовании и продвигается Microsoft как одно из основных средств для защиты от эксплойтов, в т. ч. 0day. Во многих Security Advisory, выпускаемых компанией, вы можете увидеть отсылку именно к EMET. Инструмент, в большей степени, ориентирован на технических специалистов и содержит различные настройки, некоторые из которых выключены по умолчанию для обеспечения необходимого уровня совместимости с приложениями (EMET выполняет т. н. inline patching кода защищаемых процессов, перехватывая там API вызовы, см. ссылки выше). Тем не менее, даже для обычного пользователя, который не может разобраться со всеми настройками, EMET может быть очень полезен с настройками по-умолчанию.

Категория: Операционные системы » Windows

 

EMET, предотвращение эксплуатации и неочевидные настройки

Автор: admin от 29-04-2014, 10:45, посмотрело: 888

Мы уже много раз писали и про EMET [1, 2, 3, 4] и про «Расширенный защищенный режим» (EPM) работы браузера Internet Explorer 10+ [1,2], и про 64-битные процессы для вкладок [1, 2], и про нововведения Windows 8/8.1 [1], в которых используется защита от эксплуатации. Несмотря на то, что Microsoft, в последнее время, уделяет достаточно усилий для того, чтобы встроить защиту от эксплойтов в Windows, многие введенные настройки оказываются выключены по умолчанию. Очевидно, что практикуемый компанией подход заключается в том, что она ставит совместимость приложений с ОС на первое место, а включение настроек безопасности оставляет на плечи пользователей (из-за декларируемых проблем совместимости).

EMET, предотвращение эксплуатации и неочевидные настройки

Например, в недавнем посте на MSRC для SA 2963983 содержится следующее предложение.
Our initial investigation has revealed that Enhanced Protected Mode, on by default for the modern browsing experience in Internet Explorer 10 and Internet Explorer 11.

Категория: Операционные системы » Windows