Новая версия Enhanced Mitigation Experience Toolkit (EMET) 4.0 вышла в бету. EMET использует необходимые превентивные методы для защиты приложений от различных рода атака, которые имеют целью эксплуатирование flaws в ПО и изменение потока выполнения кода. EMET помогает защитить приложения, в т. ч. от 0day эксплойтов, которые могут использовать ROP для обхода DEP и ASLR. Новая версия EMET вводит ряд дополнительных возможностей, которые позволяют обнаруживать различные сценарии эксплуатации и компрометации приложений.
Дистрибутив для загрузки можно скачать здесь. Для установки EMET требуется .NET Framework 4.
Новые возможности v4.
SSL/TLS Certificate Trust features
Дополнительные возможности по управлению сертификатами SSL/TLS для браузера Internet Explorer и создание специальных правил. Возможность, которая позволит обнаружить атаку типа MITM (Man in the middle) при использовании сторонних сертификатов (возможность фильтрации Root CA сертификатов на основе опций Key Size, Allowed Country).
Strengthened mitigations, blocking bypasses
Включает в себя новые возможности по блокированию эксплойтов, которые используют новые разновидности ROP (anti-EMET). В частности, добавлено несколько новых обработчиков для функций kernelbase!VirtualAlloc и ntdll!NtAllocateVirtualMemory, без которых ROP mitigation можно было обойти. Возможность «Banned API» позволяет блокировать технику обхода DEP, ASLR с использованием ntdll!LdrHotPatchRoutine.
Audit Mode
Позволяет отключать возможность завершения подконтрольного EMET процесса, в котором была замечена попытка эксплуатации (по умолчанию).
Больше информации о настройках EMET и их расшифровка здесь (v3.5).
Официальный релиз EMET v4.0 ожидается 14 мая 2013 г.
Автор: esetnod32