Microsoft verbetert bescherming tegen ongepatchte lekken

Dat is vooral van belang bij oudere in huis ontwikkelde toepassingen en toepassingen van derden, waarin lekken vaak trager gepatcht worden dan in software van Microsoft zelf. Patches van software van de grote softwarehuizen geven hackers namelijk nogal eens aanknopingspunten voor een aanval op in huis- of door derden ontwikkelde software.

Daarnaast kan EMET onder bepaalde omstandigheden een dam opwerpen tegen misbruik van nog niet gepatchte lekken in Microsoft-software.

In de eerste versie van EMET bood Microsoft:

• Dynamic Data Execution Prevention, die voorkomt dat code vanaf een ongebruikelijk adres in het geheugen wordt uitgevoerd;
• Structure Exception Handler Overwrite Protection, die beschermt tegen de gevaren van een volgelopen stack;
• Heap Spray Allocation en de Null Page Allocation, die het lastiger maken om van buitenaf te beïnvloeden waar code in het geheugen terechtkomt.

In versie 2.0 voegt Microsoft daaraan toe:

• Mandatory Adress Space Layout Randomization, die het voor hackers nog lastiger maakt in te breken, omdat de voorspelbaarheid van de plaats waar applicaties in het geheugen laden, wordt verbroken. ASLR werd al met Service Pack 2 van Windows XP ingevoerd, maar nog steeds maken niet alle toepassingen daar gebruik van; daardoor is zelfs Windows 7 nog kwetsbaar voor hacks via de voorspelbaarheid van geheugenadressering. EMET versie 2.0 voorkomt dat door willekeurig gebruik van het geheugen af te dwingen;
• Export Adress Table Access Filtering; die het mechanisme blokkeert dat veel kwaadaardige code gebruikt om de application programming interfaces van Windows aan te roepen.

Gebruik van EMET vergt expertise op IT-gebied. Vooraf moet worden getest of alle applicaties ermee overweg kunnen. EMET maakt het wel mogelijk om de beveiligingstechnieken heel fijnmazig toe te passen. Per proces kan worden aangegeven welke onderdelen van EMET daarop werkzaam zijn.

Meer informatie is te vinden op het Security & Defense-blog van Microsoft.