信息來源:企業(yè)網(wǎng)
微軟EMET 5.0漏洞能讓攻擊者讓該工具針對自身。那么,什么是EMET漏洞,它的工作原理是什么?除了修復(fù)漏洞,我們還應(yīng)該做些什么來避免這個(gè)問題?
Nick Lewis:微軟EMET是一款安全工具,它增加了額外的安全防御來保護(hù)潛在易受攻擊的舊版本和第三方應(yīng)用。在最新版本的Windows中,它提供數(shù)據(jù)執(zhí)行防護(hù)和地址空間布局隨機(jī)化等改進(jìn)功能,但在舊版本W(wǎng)indows中沒有這些功能。EMET并不是反惡意軟件、白名單、修復(fù)或其他安全控制的替代品,它旨在提高攻擊者的成本。如果攻擊者可在端點(diǎn)運(yùn)行代碼,繞過EMET只是時(shí)間問題,就像繞過反惡意軟件或其他工具。
FireEye發(fā)現(xiàn)了EMET 5.0中的漏洞,該漏洞會影響該工具的早期版本,可用來將EMET關(guān)閉。EMET之所有需要包含關(guān)閉自身的功能,是為了它在端點(diǎn)制造問題。企業(yè)應(yīng)該謹(jǐn)慎控制這個(gè)功能以防EMET被輕易繞過。FireEye介紹了一種新技術(shù)以更改EMET 5.0配置中讓其自身關(guān)閉的變量,同時(shí),微軟提供了可用的更新版本EMET 5.5以解決這些個(gè)洞。
任何使用EMET 5.0的企業(yè)都應(yīng)該將修復(fù)作為其標(biāo)準(zhǔn)做法的一部分,除了修復(fù),企業(yè)還應(yīng)該部署包含標(biāo)準(zhǔn)安全工具的分層防御。
對于微軟來說,這本來很難避免這個(gè)問題,并且微軟已經(jīng)盡可能做了應(yīng)該做的事情。微軟對漏洞報(bào)告迅速作出響應(yīng),修復(fù)了該漏洞,并審查EMET 5.0的軟件開發(fā)做法以確定該漏洞是否本來可以避免。對于安全研究人員和攻擊者,在保護(hù)措施部署后,他們就會立即進(jìn)行分析來確定其中任何缺陷問題。安全技術(shù)改進(jìn)更顯著,分析和繞過的時(shí)間就越長,這可為企業(yè)提供更多時(shí)間來保護(hù)其端點(diǎn)。