【EMET】enhanced mitigation experience toolkit 2 [無断転載禁止]©2ch.net
過疎ってるのに立てたんかいw乙
じゃネタ
ESETとEMET共存運用
で、ESETが新V9になって、SSL/TSLプロトコルフィルタリングがデフォルト有効になって弊害発生
Facebook・Twitter.comにEMETが反応しまくり、ESETは無反応
まぁ、片方止めれば出なくなるんだけどね
どっち止めたらいいのやら? >>1乙
いちおう入れてるからには網張っておきたいんで Windows使ってるうちEMET入れてる人ってどのくらいいるんだろう。
数%?
それとも1%未満? EMETとMBAEフリー版、どっちがいいんだろう?
今は、ブラウザだけじゃなくて他のソフトにも対応できるって意味でEMETにしてるんだけどさ。
EMETとMBAEフリー版て、脆弱性対策の具体的な仕組みに違いはあるのかな? 「MBAE」がペイロードの実行防止を目的とするのに対し、「EMET」は脆弱性対策技術を追加で施してエクスプロイトをより困難にする点が異なると言えるだろう。
「MBAE」は防御対象となるアプリケーションがプリセットされており、追加や削除、細かい設定の変更などが一切できないのに対し、「EMET」はより柔軟に運用できる反面、比較的高度なセキュリティ知識を要求される点も異なる。 >>6
How is MBAE different from Enhanced Mitigation Experience Toolkit (EMET)?
https://forums.malwarebytes.org/topic/136424-frequently-asked-questions/#comment-846362
EMETではJavaの脆弱性を保護できない的な記述があるけど・・・ 以前、EMET5.1をいれていたけど余りにも重いので取り外していた
久しぶりに5.5を入れてみたら5.1より遥かに軽いので驚いた
5.5で更に重くなってたら今のPCで使うのを完全に諦めてた 設定をしっかりいじれてるかにもよるからなあ
自分だと5.2より5.5の方が重いし、設定を揃えた上で AVGとかのアウトブレイク機能ってどれくらいゼロディに効果あるんだろ >>12
どうなんだろ…。俺も詳しいことはわからないけれど、
もしかしたら(EMETとの仕組みの違いはあれど)MBAEのような働きでもするのかなぁ?
だとしたら、ありがたいね。今はAVG使ってないから、なんとも言えないけど。 EMETを使い始めてそろそろ1週間位たつけど、今のところOSが重くなったりするといった症状は出ていないから、
そのまま様子見で使いつづけることにします。
MBAEと違って、(個人的な印象では)若干OS起動時にもたつくけど、任意のソフトが登録できたりはじめから登録されているソフトが多いのは
MBAEとの大きな差別化の要素になると思うんだけどなぁ。
なかなか「使っています」報告がネット上で見られないね。 >>14
>OS起動時にもたつく
5.5はデフォルト遅延起動になってるから
管理ツールで自動起動にしてやると真っ先に起動するようになる AdobeReaderが突然起動しなくなったんで、あれこれしまくった結果
EMETが原因でした…orz EMET入れてるがAdobeReaderが動かなくなったことはないなあ。
Maximum Security Settingにしてるからいつ何が動かなくなっても驚かないが >>15
それ5.5になったときになんでそうしたのかと言われてましたけど、
デジタル署名の日付け見る限り今出てる5.5は最初のと同じですね。 >>17
Win7+EMET5.5recom設定なんですが
EAFチェックすると起動しない、けどEAF+は問題ない
謎です Win10はもうEMET入れなくていいくらいの強力な防御力だと聞いたけど本当? 以前読んだCNETの記事では、「Microsoftは、Windows10端末にはEMETがいらないくらいのセキュリティ対策を実装していると述べてるよ」って書いてあった記憶がある。
俺も素人だから、具体的にWindows10の標準機能でどこまで保護されるかはわからないけど、
保護するためのツールとしては必ずしも必要ではないみたい。
その記事には、「企業などの法人顧客にとっては、(消費者ほど素早くアップデートなどをしないから)EMETは引き続き必要なソフトであり続けるだろう」とも書いてあったかと。
CNETの記事がただしいとするならば、
・一般的な消費者には、EMETは必ずしも必要ではない、あるいは余分なものだと言える
・Windows10には、すでに優れたセキュリティ対策機能が初めから組み込んである
・アップデートなどの柔軟な対策が直ちに取りにくい法人/ビジネスユーザーにとっては、引き続き重要なセキュリティ対策ツールでありつづける
…ってことじゃないかな?
俺も、今まではEMETを使ってたけど、有料のマルウェア対策ソフトを導入したのにあわせて、EMETをアンインストールしたんだよね。 Windows10に本当に全く不要ならインストールできるようにしないだろう。 中の人含めてだれも「全く不必要」とは言ってないと思うけどな。
いくつか緩和策が10には既に実装されているので態々入れなくても良いよって言ってるだけ。 Windows10にアップグレードするときって
事前にEMET抜いておくべきかな? 結局Windows10にもEMET入れました。
IEで何度か警告が出た。 アンインストールしても
ブロックの設定は残るみたいなんですが
どうやったらインストール前まで戻せるのでしょう Enhanced Mitigation Experience Toolkit (EMET) 5.51
https://www.microsoft.com/en-us/download/details.aspx?id=53354
EMET 5.51 release includes bug fixes, including:
・EMET 5.5 GUI crashing on startup
・Unexpected BitLocker warning in EMET 5.5 when changing system-wide DEP setting >>29
遅延起動もフェィスブックブロックも何一つ直ってない 久しぶりに来たら前より過疎ってるな。
>>6
>>7のコピペはベータにしか当てはまらない間違いと以前言った気がしたが…
r41p41氏によると
Right now the difference between EMET 5.5 and MBAE 1.7xx is
EMET has EAF/EAF+, MBAE has Return Address validation.
EMET comes out on top because of EAF+.
どっちも突破できるけどEMETの方がムズいらしい >>12
AVGは知らんが主要AVベンダーは大体採り入れて来てるな。
実際の効果はテスト機関がたまにやるexploitテストでもみるしなかないが、かなりベンダー間で差がある模様
>>20
10の目玉としてはControl Flaw Guardがあるけど、アプリ側での対応が必要だし、磐石なものでもない。
どちらかってとストアアプリに適用されるAppContainer(sandbox)の方が大きい
2010以前のOfficeや,Edge&Chrome以外のブラウザ、
ストアアプリ以外のメディアプレイヤーやドキュメントビューアは保護する意味がある >>28
レジストリのMitigationoptionsやImage file execution optionsをちまちま直すのが嫌なら、
再インストールしてブロックの設定を直してからアンインストールしたら? EMETを知ってしまうとMSEとの組み合わせで十分だと思ってしまう
もう有料には戻れない
ちなみに5.51を入れてるけどEAFは切らないとIEが起動しなかったバグって直ってるのかな
色々と面倒なので5.5で採用した設定のまま使ってる ぷうううううううううううううううううううううううううううううううううううううう 9月のセキュリティ更新プログラムKB3175024を適用すると、Win7でEMETが死亡するとのこと。
MSは回避策としてEAFを無効にすることを提案。
https://support.microsoft.com/ja-jp/kb/3175024
KB3175024を入れないよりは、EAFを無効にしたほうがいいってこと? *現時点*ではそれが最善ということで回避策を公開してる 少しでもEMETの起動を早くしたいので
タスクマネージャーからEMETの優先度をアップしてみた
結果少しだけ起動が早くなった、、、気がする(確証無し) >>46
本体は自動起動するサービスなんだからデスクトップが使える頃にはとっくに起きてるよ
GUIなんて飾りです EMETって効いたときは必ずメッセージが出る?
IE11でしかメッセージが出たことないんだが 先日Chromeをアップデートしたらバカバカメッセージが出てきて大変な事になった >>50
効いたときってのはexploitを防いだとき?
必ずではない、exploitとmitigationによっては出せない時もある。 >>47
EMETの本体はサービスですらない
ユーザーガイドのSCCMで配布する章にはshimを作るためのEMET_Conf以外の実行ファイルは含めていない >>53
適当言ってすまね
てかサービスが何してるかまで書いてあるな
emet.dllさえ読み込まれてりゃ保護されるってことか んじゃウイルスに感染させるなりとかで無効化さえすれば好き放題じゃん…、俺だったらdllのネームをemetになんてしないんだが… 名前をランダム化でもしろと?どのみちフィンガープリント可能だし既にEMET検知する○とっくに出てるのよね
まーEMETは入口塞ぐだけだから、入られた後のことまで責任とれんよ
というか侵入前から無効化できるし、Bromiumとかはそこ使って何度かバイパスしてるね アレ?dllの保護も出来なかったっけ?出来たよな確か 保護した実行ファイルのメモリ空間に読み込まれるもんは同様に保護される
上で言ってるのはマルウェアにdll読込み邪魔されたらoutじゃんとか、
いやそれ以前にexploitから無効化できちゃったりするんだけどという話
参考
ttps://www.offensive-security.com/vulndev/disarming-and-bypassing-emet-5-1/
ttps://www.fireeye.com/blog/threat-research/2016/02/using_emet_to_disabl.html
※最新版では一応は修正されてる 誰かの役に立つかもしれんので報告。Win10Homex64
Moveimages!0xffffffffの状態でMitigationOptions!0x5000100111555(ASLR:AlwaysOn)
だとEdgeがクラッシュするが0x5000100111155(OptOut)だとしない
3桁目以外の値が関係あるかとかIFEOで個別指定するとどうかとかは未検証
以前DEPでAlwaysOnとOptOutの挙動が違うってのがあったがASLRもなんかあるっぽい >>56
まぁ入られたら終わりなんだけどねいずれにせよ Windows10も色々と文句言われてたけどやっぱり入れるべきだったんだな
9割方の人が入れなかったみたいだけどね >>59訂正。
Moveimages!0x01でも同じだった
しかしMitigationOptionsの0x100000000は何なんだ…
これがあるとChromeでIMEが効かなくなるのでIFEOで除外した http://fast-uploader.com/file/7032757486939/
IE11なのですがIEの画面を右クリックしてプロパティを展開すると
EMETのASRのアラートが出ますがこれは何なのでしょうか?
画面はヤフーのトップ画面なのでさすがにここが攻撃を受けたともちょっと
考えにくいです OSはWin10でEMETのバージョンは5.51です
UP画面を見れば分かるとは思いますけど http://fast-uploader.com/file/7032758400398/
他サイトでも出ますのでやはり右クリックの問題かと思います
これは何に反応しているのか分かる方いらっしゃいましたらお教え願います >>65
ASRってのはexploit止めるんじゃなくて指定したモジュールの読込みを防ぐ機能
右クリしたときにvbscript.dllが読み込まれるのをブロックしたか検知したんだよ(設定次第)
邪魔ならiexplorerのASRの設定からvbscript.dllを除外するか、信頼済みゾーンのセキュリティ引き上げた上で右クリしたいサイト追加
いずれにせよセキュリティを僅かに犠牲にするので無視が一番だけどな。手動でAdobe Readerとかにルール追加しまくったらなかなか煩わしかったわ
つか、デフォの証明書ピン止めルールが期限切れした時も言ったがEMET使うならユーザーガイドくらい全部嫁。
全自動のアンチウイルスとは違うぞ IEのASRはうざいぐらい検知するから速攻外してるわ >>66>>67
ありがとうございます
私の勉強不足でした Orz・・・
煩わしくないのでそのままで使いたいと思います
基本エッジ使ってますのでIEは補助的にでたまにしか使いませんので
しかしエッジってエメットの保護下にはもうないんですね
相当優秀なブラウザのようで頼もしいです Windows10でMaximum security settingにしていて
「設定」でIEが開くところ(たとえばシステム→バッテリー→バッテリーを節約するためのヒント)をクリックしたら
DEPエラーが出てIEが終了するようになって、
この前までそんなことはなかったはずなのにおかしいなと思い、Recommended securityにしたら出ない。
でもう一度Maximum securityにしたらやっぱり出ない。
いったい何が起きたんだろうか。 >>69
昔こんなバグがあったな
ttp://tamae.2ch.net/test/read.cgi/sec/1366984422/595
心配ならProcessExplorer辺りで確かめたら?
EMETのサポート期限が2018/01/31まで延長されたよん
ttps://support.microsoft.com/en-us/kb/2458544 >>69
もうちょい詳しく書いたページあった
ttp://togetter.com/li/490251
てかお前らEMETのサポ終わったらどーすんの?
当面はそのまま使っても大丈夫だろうけど EMET5.5をアンインストール後EMET5.51をインストールしたら
Win8.1のIE11がエラーで起動しなくなりました。
EAF+とEAFのチェックを外してもエラーとなります。
EMET5.5に戻してもIE11は起動しなくなってしまいました。
何か対策はないでしょうか。 >>75
さげってw
単にエラーと言われてもなぁ
せめてイベントログでそのエラー見つけて貼りつけるとかしようよ >>76
IEのエラーメッセージ詳細をコピーしておけばよかったのですが。
イベントビューアにIEエラーは記録されないみたいです。
とりあえずEMETなしでやっていこうかと思います。 >>74
Windows 10 RS2でReturn Flow Guard入るしEMETにあってWindowsに無いのってHeapSprayとASRとEAFぐらいになるんだよなぁ
最新のコンパイラで有効にしたうえでビルドが必要だけれど >>78
>最新のコンパイラで有効にしたうえでビルドが必要だけれど
ここだよね、Win8.1からのCFGも主要サードパーティーソフトで有効にしてんのChormeくらいでしょ?
そういやEMET自体はCFG有効じゃないね、まあこれで守るプロセスはどのみちCFG無効だろうから問題ないけど
EAF(+)のあるなしは結構大きいかと。ASRとCert Pinningもカスタムしてバリバリ使う人には惜しい
突然のサポート終了もやっぱ「お前らさっさと10に移行しろよゴルァ」てことみたいね
ttps://blogs.technet.microsoft.com/srd/2016/11/03/beyond-emet/ EMETさん終わっちゃうのか
MBAMさんに頑張ってもらうしかないな。 一つ疑問だけど、
EMETってOSの脆弱性を緩和する以外にもソフトウェア(ブラウザやOffice)の脆弱性を緩和する効果もあるよね?
マイクロソフトはWindows10にはEMET以上の機能が付いているから必要ないと言っているけど、
それはWindows10の機能でOSのみならずソフトウェアの脆弱性も緩和できるっていうこと?
それともやはりWindows10の機能ではOSの脆弱性しか緩和できないの?
もし前者ならEMETは本当に必要ないけど、後者ならまだまだEMETは必要だよね? OSの脆弱性ってのがkernel指すのか何なのか知らんが、そもそもEMETが守るのは個別のアプリケーションだけだ
システム設定も元々OSに備わってる機能でEMETなくても有効にできる
Windows10の機能で緩和うんたらについては、その緩和策が色々あるんで単純な返事はできん
例えばEdgeやストアアプリはAppContainerで保護されるがCFG等はアプリ側で有効にしてコンパイルする必要がある
一方Guard Pageなんかは一般のアプリでも恩恵受けられるだろ
要するに色々ってことw
よくわかんなきゃ、>>32の下2行
>>81
MBAEは使う気しない。幸いHitmanPro.Alertの永年ライセンスがあるのでメインPCはそれで賄ってるがサブどうすっか 開発を終了したからと言って脆弱性がなくなったわけではない EMETの効果は現状以上にはならないということ。
改善されるのはOSの方。 明るい話が無いのでEMETをアンインストールしてしまった 2018年7月までサポートするってんだから抜くのはそれからでいいのでは ありゃ、7月だったか。今見たら確かにそうだな
JunとJulを見間違えたか >>90
Windows10に搭載されている防御策と共通するものが多いから
Windows10使えってこと やべJunじゃねーJanだ、二度も間違えるとはOrz
>>90
ぶっちゃけバグはまだあるw
あとMS自身>>79のリンクで認めてるようにEMETはバイパスされやすい
今まではされる毎に対策してたけど、終了後はそれもなくなる 残るのはEMETの有無に関わらず有効な設定
つまり保護が部分的に残されるわけで、問題がなきゃそのままでいいと思うよ
問題出たらレジストリ弄ることになるけど、EMET再インストールして直してもいいし アンインストール支援ソフト使って抜いてもダメですか? んなもん自分で試せとしか
レジストリ値削除するだけなら大した手間じゃないけど
問題はIFEOにデフォルトで入ってる値まで消してしまう点
変更記憶→ロールバック型のアンインストーラじゃなきゃ厳しいと思うけどね
んなこと聞いてる時点でレジストリのバックアップなんてとってないんだろうし
EMET入れる前まで戻すか、入れてないシステムからIFEOエクスポートするかじゃね 要はEMET無くてもWin10のシステムが侵されなければいいんでしょ 5.51.6024.23969って存在が確認出来ないんですけどガセですか?