公式
ttp://http://support.microsoft.com/kb/2458544/ja wiki(用語解説など)
ttp://http://ja.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit 最新ver3.0(2012/05/15) βver4.0(2013/4/18) 日本語化無し アプリからのupdate無し
ダウンロード
最新版ver3.0
ttp://http://www.microsoft.com/en-us/download/details.aspx?id=29851 βver4.0
ttp://http://www.microsoft.com/en-us/download/details.aspx?id=38761 ※前スレ
【EMET】enhanced mitigation experience toolkit
ttp://tamae.2ch.net/test/read.cgi/sec/1366984422/ 上で言ってるのはマルウェアにdll読込み邪魔されたらoutじゃんとか、
いやそれ以前にexploitから無効化できちゃったりするんだけどという話
参考
ttps://www.offensive-security.com/vulndev/disarming-and-bypassing-emet-5-1/ ttps://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html ※最新版では一応は修正されてる
Moveimages!0xffffffffの状態でMitigationOptions!0x5000100111555(ASLR:AlwaysOn)
だとEdgeがクラッシュするが0x5000100111155(OptOut)だとしない
3桁目以外の値が関係あるかとかIFEOで個別指定するとどうかとかは未検証
以前DEPでAlwaysOnとOptOutの挙動が違うってのがあったがASLRもなんかあるっぽい
まぁ入られたら終わりなんだけどねいずれにせよ
9割方の人が入れなかったみたいだけどね
Moveimages!0x01でも同じだった
しかしMitigationOptionsの0x100000000は何なんだ…
これがあるとChromeでIMEが効かなくなるのでIFEOで除外した
ttp://http://fast-uploader.com/file/7032757486939/ IE11なのですがIEの画面を右クリックしてプロパティを展開すると
EMETのASRのアラートが出ますがこれは何なのでしょうか?
画面はヤフーのトップ画面なのでさすがにここが攻撃を受けたともちょっと
考えにくいです
UP画面を見れば分かるとは思いますけど
ttp://http://fast-uploader.com/file/7032758400398/ 他サイトでも出ますのでやはり右クリックの問題かと思います
これは何に反応しているのか分かる方いらっしゃいましたらお教え願います
ASRってのはexploit止めるんじゃなくて指定したモジュールの読込みを防ぐ機能
右クリしたときにvbscript.dllが読み込まれるのをブロックしたか検知したんだよ(設定次第)
邪魔ならiexplorerのASRの設定からvbscript.dllを除外するか、信頼済みゾーンのセキュリティ引き上げた上で右クリしたいサイト追加
いずれにせよセキュリティを僅かに犠牲にするので無視が一番だけどな。手動でAdobe Readerとかにルール追加しまくったらなかなか煩わしかったわ
つか、デフォの証明書ピン止めルールが期限切れした時も言ったがEMET使うならユーザーガイドくらい全部嫁。
全自動のアンチウイルスとは違うぞ
ありがとうございます
私の勉強不足でした Orz・・・
煩わしくないのでそのままで使いたいと思います
基本エッジ使ってますのでIEは補助的にでたまにしか使いませんので
しかしエッジってエメットの保護下にはもうないんですね
相当優秀なブラウザのようで頼もしいです
「設定」でIEが開くところ(たとえばシステム→バッテリー→バッテリーを節約するためのヒント)をクリックしたら
DEPエラーが出てIEが終了するようになって、
この前までそんなことはなかったはずなのにおかしいなと思い、Recommended securityにしたら出ない。
でもう一度Maximum securityにしたらやっぱり出ない。
いったい何が起きたんだろうか。
昔こんなバグがあったな
ttp://tamae.2ch.net/test/read.cgi/sec/1366984422/595 心配ならProcessExplorer辺りで確かめたら?
EMETのサポート期限が2018/01/31まで延長されたよん
ttps://support.microsoft.com/en-us/kb/2458544 もうちょい詳しく書いたページあった
ttp://togetter.com/li/490251 てかお前らEMETのサポ終わったらどーすんの?
当面はそのまま使っても大丈夫だろうけど
Win8.1のIE11がエラーで起動しなくなりました。
EAF+とEAFのチェックを外してもエラーとなります。
EMET5.5に戻してもIE11は起動しなくなってしまいました。
何か対策はないでしょうか。
さげってw
単にエラーと言われてもなぁ
せめてイベントログでそのエラー見つけて貼りつけるとかしようよ
IEのエラーメッセージ詳細をコピーしておけばよかったのですが。
イベントビューアにIEエラーは記録されないみたいです。
とりあえずEMETなしでやっていこうかと思います。
Windows 10 RS2でReturn Flow Guard入るしEMETにあってWindowsに無いのってHeapSprayとASRとEAFぐらいになるんだよなぁ
最新のコンパイラで有効にしたうえでビルドが必要だけれど
>最新のコンパイラで有効にしたうえでビルドが必要だけれど
ここだよね、Win8.1からのCFGも主要サードパーティーソフトで有効にしてんのChormeくらいでしょ?
そういやEMET自体はCFG有効じゃないね、まあこれで守るプロセスはどのみちCFG無効だろうから問題ないけど
EAF(+)のあるなしは結構大きいかと。ASRとCert Pinningもカスタムしてバリバリ使う人には惜しい
突然のサポート終了もやっぱ「お前らさっさと10に移行しろよゴルァ」てことみたいね
ttps://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/ MBAMさんに頑張ってもらうしかないな。
MBAEさんやね
EMETってOSの脆弱性を緩和する以外にもソフトウェア(ブラウザやOffice)の脆弱性を緩和する効果もあるよね?
マイクロソフトはWindows10にはEMET以上の機能が付いているから必要ないと言っているけど、
それはWindows10の機能でOSのみならずソフトウェアの脆弱性も緩和できるっていうこと?
それともやはりWindows10の機能ではOSの脆弱性しか緩和できないの?
もし前者ならEMETは本当に必要ないけど、後者ならまだまだEMETは必要だよね?
システム設定も元々OSに備わってる機能でEMETなくても有効にできる
Windows10の機能で緩和うんたらについては、その緩和策が色々あるんで単純な返事はできん
例えばEdgeやストアアプリはAppContainerで保護されるがCFG等はアプリ側で有効にしてコンパイルする必要がある
一方Guard Pageなんかは一般のアプリでも恩恵受けられるだろ
要するに色々ってことw
よくわかんなきゃ、の下2行
MBAEは使う気しない。幸いHitmanPro.Alertの永年ライセンスがあるのでメインPCはそれで賄ってるがサブどうすっか
ttp://http://forest.watch.impress.co.jp/docs/news/1028544.html 改善されるのはOSの方。
JunとJulを見間違えたか
完成しつくされたということか?
Windows10に搭載されている防御策と共通するものが多いから
Windows10使えってこと
ぶっちゃけバグはまだあるw
あとMS自身のリンクで認めてるようにEMETはバイパスされやすい
今まではされる毎に対策してたけど、終了後はそれもなくなる
つまり保護が部分的に残されるわけで、問題がなきゃそのままでいいと思うよ
問題出たらレジストリ弄ることになるけど、EMET再インストールして直してもいいし
レジストリ値削除するだけなら大した手間じゃないけど
問題はIFEOにデフォルトで入ってる値まで消してしまう点
変更記憶→ロールバック型のアンインストーラじゃなきゃ厳しいと思うけどね
んなこと聞いてる時点でレジストリのバックアップなんてとってないんだろうし
EMET入れる前まで戻すか、入れてないシステムからIFEOエクスポートするかじゃね
主にバグ修正なのかな?
取りあえずアップしとくか
ちょうどBIOSもアップデートが出ていて新鮮な気分。
情報、サンキュ
ttp://https://twitter.com/aionescu/status/802002626615255040 Secondary Logonというサービスを起動するようになった
別の資格情報でのプロセスの開始を有効にします。
このサービスを停止するとこの種のログオン アクセスは利用できなくなります。
このサービスを無効にすると、このサービスに明示的に依存しているサービスはすべて開始できなくなります。
これが依存するサービス:なし
これに依存するサービス:EMET
とある
どのプロセスを起動しようとしているのだろう
ttp://http://japan.zdnet.com/article/35092697/ ttp://https://archive.is/JNBF4 👀Rock54: Caution(BBR-MD5:1322b9cf791dd10729e510ca36a73322)
EMETのサポート切れたところで「入れていないよりはマシ」程度で使い続けますけどなw
空を見上げりゃ空にある〜♪
ttps://security.stackexchange.com/questions/159688/does-emet-prevent-wannacry-exploit-execution これだと、今のところ2つ回答がついていて、
どっちも出来ない、ということらしいんだけど
みなさんごきげんよう
WannaCryは、EternalBlueを利用するけど、
EternalBlueは、以下によるとbuffer overflowを悪用するらしい
これはEMETではブロックできない?
ttps://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue ttps://twitter.com/eric_conrad/status/853664695458377728 のリンクや上を信頼するなら、EMETではブロックできないらしい
で、その理由は、
EternalBlueはOSカーネル内で走るから
で正しいんかな?
自分で勉強しろよ!って話かもしれないが
僭越ながら、それを利用させてもらうと・・・
lsass.exeをEMETに登録していれば、
EternalBlueやWannaCry感染をブロックできるらしい
lsass.exeは、デフォルトのプロファイルにはないけど、
登録してればWannaCryへの感染対策になったのかも?
ttps://www21.atwiki.jp/20a88e3f44cab94a0416/ 上の2chのログの「EMETに登録を推奨されるアプリケーション」には、
>Windows LSASS C:\WINDOWS\system32\lsass.exe
があったりするんだよねえ
6,7年前に、既にこの情報を出してた人が偉いのかも
ちなみに、EMET3用は以下、それ以降のは見つけられなかった
ttps://www.rationallyparanoid.com/articles/microsoft-emet-3.html サンキュです
似たことがこれからもあるかも知れないので遅まきながら登録した
lsass.exeをEMETに登録するのは、お勧めできないらしい
ttps://blogs.technet.microsoft.com/srd/2015/10/20/emet-to-be-or-not-to-be-a-server-based-protection-mechanism/ ttps://support.microsoft.com/en-us/help/2909257/emet-mitigations-guidelines >System and network services are also out-of-scope for EMET.
>Although it is technically possible to protect these services
>by using EMET, we do not advise you to do this.
は、
もしもEMETで対策をするのであればlsass.exeを登録しないといけない
と解釈願いたい
このやり方を採用するかどうかは、各自の判断でお願いしますね
実は、自分もlsass.exeを登録してなくて今回初めて知った^^;
システム系のサービスはEMET5.52だと保護できないと勝手に思い込んでいたけどおま環だったのか・・・
Windows10のlsass.exeも高度な技術が使われてたりするのかな?
ttps://support.microsoft.com/ja-jp/help/2458544/the-enhanced-mitigation-experience-toolkit >EMET 5.5x の緩和策は Microsoft Edge に適用されません。
>Edge の保護には高度な技術が使われているためです。
>これらには、業界をリードするサンドボックス、コンパイラ、メモリ管理技術が含まれています。
ttp://https://blogs.windows.com/business/2017/06/27/announcing-end-end-security-features-windows-10/ Building the best of EMET into Windows 10. Our customers are clearly fans of threat protections offered through the Enhanced Mitigation Experience Toolkit (EMET).
Their feedback to us has been a driving force for Windows Defender Exploit Guard, a new feature making EMET native to Windows 10.?
By integrating the power of EMET along with new vulnerability mitigations, Exploit Guard includes prevention capabilities that help make vulnerabilities dramatically more difficult to exploit.
In addition Exploit Guard delivers a new class of capabilities for intrusion prevention. Using intelligence from the Microsoft Intelligent Security Graph (ISG), Exploit Guard comes with a rich
set of intrusion rules and policies to protect organziations from advanced threats, including zero day exploits. The inclusion of these built-in rules and policies addresses one of the key
challenges with host intrusion prevention solutions which often takes significant expertise and development efforts to make effective.
「EMET」の利用はブロックされるようになる。代わりに「Windows 10 Fall Creators Update」で「Windows Defender」に追加される予定の“Exploit Guard(悪用保護)”機能を利用しよう。
ttp://http://forest.watch.impress.co.jp/docs/news/1072053.html Windows7等?ではlsass.exeをEMETに登録しないといけないのに対して、
Windows10のRedstone1以降ではEMETなしでも簡単にやられないらしい
ttps://twitter.com/zerosum0x0/status/868965469524549632 このへんのことも、のEMETをブロックにした理由の一つなんだろうか?
ttp://www.softantenna.com/wp/windows/wannacry-for-windows-10/ >WannaCry for Windows 10は、現在Current Branch for Businessの
>サポート期間である、Windows 10 x64 version 1511 に対して有効とのこと。
この部分は、正確にはバージョン1511のビルド10586以前ではなかろうか
ttp://www.mbsd.jp/blog/20170629.html lsass.exeをEMETに登録して防げるのはDoublePulsarでEternalBlueではない
>118-130で間違ってる部分があるね、ごめんなさいm(__)m
に自己レス
>このへんのことも、のEMETをブロックにした理由の一つなんだろうか?
恐らくでも既出の話で、Noのはず
ttp://https://blogs.technet.microsoft.com/jpsecurity/2017/09/12/emettowdeg/ Windows 10 Fall Creators Update から Windows 10 に
Windows Defender Exploitation Guard 機能として完全統合される予定です。
Windows Defender Exploitation Guard は、Windows Defender Security Center から設定を操作し、
攻撃緩和策の設定を GUI 上で利用することもできます。
現在 、ツール形式の EMET を利用している場合は、Fall Creators Update を適用以降は、誤動作を防ぐため、
これまでのツール形式の EMET は動作しないよう自動的に制限されます。
なお、ツール形式の EMET を必ずしもアンインストールする必要はありません。
EMETが生きるのかな?
ttp://https://blogs.technet.microsoft.com/jpsecurity/2017/09/14/moving-beyond-emet-ii-windows-defender-exploit-guard/ Windows Defender Exploit Guard (WDEG) の新しいユーザー フレンドリなインターフェイスに加え、
EMET を利用しているお客様の期待に沿って同様のレガシ アプリ保護策を追加しました。
これによって、Windows 10 がサポートする緩和策と EMET が提供するすべての緩和機能は同等となりました。
EMET はいくつかの推奨構成が設定された状態で出荷されますが、
私たちは、事業特有のニーズに対応するために EMET を利用しているお客様の多くが
ポリシーをカスタマイズしていることを把握しています。
Windows Defender Exploit Guard への移行を促進するために、
EMET の XML 設定ファイルを WDEG 用の Windows 10 緩和策ポリシーに変換する
新しい PowerShell モジュールを追加しました。
ちょっと寂しいね、エメちゃんとは長い付き合いだったのでw
そろそろ削除するかな
とりあえず当たり障りのない所でDEP、SEHOP、ボトムアップASLRをオンにしてみた。
そうしたらWindows Updateの自動更新ができなくなってしまった。最初は原因が分からなかったのだが
iexploreの設定以外思いつく原因がなかったので元に戻したら直った。
うちはそれシステム設定で「既定でオンにする」にしてるが別に何の問題もなさそうだが
まぁ環境の違いもあるかも知れませんね。
書き忘れました。プログラム設定のほうの設定でした。
システム設定は必須ASLR以外全部オンになってて
プログラム設定はシステム設定をそのまま使うようになってたな
うちもFCUクリーンインストールだが、システム設定は全部一度「既定値を使用する」に変えてしまったので、元がどうだったか覚えていない(現在は必須ASLRのみ「既定でオフにする」)。
プログラム設定の方にiexplore.exeの設定が入っていて(これは俺が設定したものではない)、必須ASLRのみ「システム設定の上書き」にチェックが入っていて必須ASLRはオンになっている。
それとEMETと違ってコンパネのシステムにあるDEPの設定はグレーにならないのだな。
システム設定と同じ設定を使うようになってるだけだからオフになってるわけではなくない?
CFG 既定でオンにする
DEP 既定でオンにする
必須ASLR 既定でオフにする
ボトムアップASLR 既定でオンにする
SEHOP 既定でオンにする
ヒープの整合性を検証する 既定でオンにする
ttp://http://jvn.jp/vu/JVNVU91363799/ 想定される影響
EMET もしくは Windows Defender Exploit Guard を使用して ASLR の強制を有効にしているシステムにおいて、アプリケーションが予測可能なメモリ位置に再配置される可能性があります。
結果として、ROP (Return-oriented programming) などのように、特定のメモリアドレスにあるコードを悪用する攻撃が容易になる可能性があります。
新しいASRは簡便でよいのだが、ほぼOfficeしか守れないよな
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
RU6P0PE1CB
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
0FHKM
ttp://https://blogs.technet.microsoft.com/jpsecurity/2018/07/19/emeteos/ Win7ユーザーはアンインストールしといた方が良い?
○○「より良いセキュリティを望む顧客にはWindows 10への移行を奨励」(寝言)
EMET detected HeapSpray mitigation and will close the application: Jane2ch.exe
Win7には入れたままの方がいい
既知の脆弱性は緩和されるはず
それこそ両手で足りないほどの回数
