Microsoft publie EMET 5.0 pour combattre l’exploitation des failles

CaptainDangeax a écrit :

En même temps, on peut toujours installer tout et n’importe quoi dans le dossier users\username\appdata\roaming, et c’est exécutable, alors…



Tu sais que c’est exactement la même chose sur OSX et avec la config par défaut de la plupart des distributions linux, hein?

C’est d’ailleurs une façon moins dangereuse d’installer des logiciels, puisqu’on n’a pas besoin de donner les droits admins.

Personnellement c’est ce que je fais avec les applis que je développe, je ne demande pas les droits admin à l’installation si j’en ai pas besoin!

Sous Windows on peut utiliser les software restriction policies, applocker, ou encore le contrôle parental de Windows pour empêcher l’exécution de programmes depuis le profil utilisateur, si vraiment on veut empêcher toute exécution de logiciel provenant de source inconnue (ce qui est fortement recommandé en entreprise, mais pas forcement désirable sur des machines personnelles)

charon.G a écrit :

A cette heure là il doit pas être réveillé. Il ne vit pas au même fuseau horaire que nous " /> (julien " />)



Si si j’étais réveillé, mais je passe pas ma journée à checker les sites de news ;)

TriEdge a écrit :

http://www.youtube.com/watch?v=ipCHv3Ernps

C’est à se demander si MS ne fait pas exprès de sortir des outils moins performants que ceux des société tiers.



Avant de troller bêtement, essaye d’abord de comprendre les faits.

Invincea ne fonctionne pas au même niveau que EMET. La comparaison dans la vidéo Youtube est foireuse.

EMET est destiné à bloquer les tentatives d’exploitation de failles basées sur la corruption de la mémoire (buffer overflows, use after free, …)

Dans la vidéo il est question d’une faille java.

EMET peut bloquer l’exploitation de certaines failles de corruption mémoire de java, mais les exploits qui reposent sur des failles dans la gestion des droits de la sandbox java ne peuvent pas être bloqués par EMET, puisque ce type d’exploit ne repose pas sur des failles de corruption mémoire (même ASLR et DEP sont donc ineffectif).

En revanche, les solutions de sandboxing comme Invincea ou même les protection proactives d’antivirus comme Kaspersky AV peuvent offrir une protection contre ce type de faille, en observant les activités inhabituelles en dehors du process et en les bloquant (genre java.exe qui instancie subitement un exe inconnu).

Ils ne fonctionnent pas au même niveau qu’EMET (qui se limite aux bugs mémoire DANS le process).

Ils sont donc complémentaires, car EMET peut également bloquer des menaces que les logiciels décrits précédemment ne pourraient pas bloquer (genre un exploit qui se contente de rester dans le process du navigateur pour faire son sale boulot sans se faire détecter). EMET est capable d’empêcher l’exécution de code dans le process, chose que ne peuvent pas faire les autres solutions de sécurité.

Concernant la compatibilité, ces solutions sont susceptible de causer pas mal de faux positifs, au même titre qu’un antivirus.

A choisir entre les deux, mieux vaut utiliser EMET. Mais évidemment si on est parano, on peut utiliser d’autres protections en plus. Perso je me contente d’EMET + MS security Essentials (intégré à win8).

Précisons aussi que la config par défaut de EMET bloque JAVA par défaut. Dans la vidéo d’invincea, l’exploit java ne fonctionne qu’après que l’utilisateur ait placé le site malveillant dans la zone intranet (whitelist pour les sites de confiance), ce qui est un peu absurde pour démontrer une prétendue faiblesse d’EMET!

Autre précision: Pour l’instant on n’a encore jamais vu d’exploits exploitant des failles 0day dans IE/Firefox/Chrome/FlashPlayer capables de contourner EMET4/5 sur le web. Il y a eu des chercheurs qui ont montré que c’était possible de contourner EMET4, mais pour l’instant les créateurs d’exploits 0day ne sont pas allés aussi loin.

Même lors du dernier concours de sécurité pwn2own, les hackers ont préféré pwner chromeOS plutôt que IE11/EMET alors que la récompense était de 150000$ dans les deux cas.