微軟EMET 5.0漏洞能讓攻擊者讓該工具針對(duì)自身。那么,什么是EMET漏洞,它的工作原理是什么?除了修復(fù)漏洞,我們還應(yīng)該做些什么來(lái)避免這個(gè)問(wèn)題?
Nick Lewis:微軟EMET是一款安全工具,它增加了額外的安全防御來(lái)保護(hù)潛在易受攻擊的舊版本和第三方應(yīng)用。在最新版本的Windows中,它提供數(shù)據(jù)執(zhí)行防護(hù)和地址空間布局隨機(jī)化等改進(jìn)功能,但在舊版本W(wǎng)indows中沒(méi)有這些功能。EMET并不是反惡意軟件、白名單、修復(fù)或其他安全控制的替代品,它旨在提高攻擊者的成本。如果攻擊者可在端點(diǎn)運(yùn)行代碼,繞過(guò)EMET只是時(shí)間問(wèn)題,就像繞過(guò)反惡意軟件或其他工具。
FireEye發(fā)現(xiàn)了EMET 5.0中的漏洞,該漏洞會(huì)影響該工具的早期版本,可用來(lái)將EMET關(guān)閉。EMET之所有需要包含關(guān)閉自身的功能,是為了它在端點(diǎn)制造問(wèn)題。企業(yè)應(yīng)該謹(jǐn)慎控制這個(gè)功能以防EMET被輕易繞過(guò)。FireEye介紹了一種新技術(shù)以更改EMET 5.0配置中讓其自身關(guān)閉的變量,同時(shí),微軟提供了可用的更新版本EMET 5.5以解決這些個(gè)洞。
任何使用EMET 5.0的企業(yè)都應(yīng)該將修復(fù)作為其標(biāo)準(zhǔn)做法的一部分,除了修復(fù),企業(yè)還應(yīng)該部署包含標(biāo)準(zhǔn)安全工具的分層防御。
對(duì)于微軟來(lái)說(shuō),這本來(lái)很難避免這個(gè)問(wèn)題,并且微軟已經(jīng)盡可能做了應(yīng)該做的事情。微軟對(duì)漏洞報(bào)告迅速作出響應(yīng),修復(fù)了該漏洞,并審查EMET 5.0的軟件開(kāi)發(fā)做法以確定該漏洞是否本來(lái)可以避免。對(duì)于安全研究人員和攻擊者,在保護(hù)措施部署后,他們就會(huì)立即進(jìn)行分析來(lái)確定其中任何缺陷問(wèn)題。安全技術(shù)改進(jìn)更顯著,分析和繞過(guò)的時(shí)間就越長(zhǎng),這可為企業(yè)提供更多時(shí)間來(lái)保護(hù)其端點(diǎn)。