Microsoft обновила EMET до версии 5.5 [1,2,3,4,5,6]. Новую версию инструмента можно сказать по этой ссылке. Как мы уже указывали в информации к бета версии, в инструмент была добавлена существенная функция безопасности под названием «Block Untrusted Fonts» для противодействия Local Privilege Escalation (LPE) эксплойтам, которые используются вредоносными программами и RCE эксплойтами для повышения своих прав в системе. Речь идет о защите от LPE эксплойтов, использующих специальным образом сформированные файлы шрифтов для срабатывания уязвимостей в драйвере win32k.sys.
К сожалению, новая функция доступна только пользователям Windows 10, т. к. ее реализация опирается на новые возможности ядра ОС, доступные только в этой ней. EMET 5.5 — это первая release-версия инструмента, в которой добавлена поддержка Windows 10.
Рис. Функция «Block Untrusted Fonts» включена для всей системы и будет блокировать попытки загрузки в память процессов TTF-файлов, расположенных за пределами директории %windir%/fonts.
Автор: ESET NOD32