Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5 (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

http://i62.tinypic.com/nbxi6g.jpg


Download v5.1 (http://www.microsoft.com/en-us/download/details.aspx?id=43714)



A COSA SERVE
A proteggere dagli exploit che colpiscono programmi vulnerabili ad attacchi di tipo memory corruption.

IN CHE MODO
Mettendo a disposizione dei processi speciali tecnologie che inibiscono il tentativo di prendere possesso delle sue risorse.


COSA E' QUINDI UN EXPLOIT?
Quel particolare meccanismo che, una volta sfruttato, porta all'infezione.

Idealmente, allora, abbiamo una situazione di questo tipo:
uno strumento vulnerabile ad un certo tipo di attacco (pensiamo ad un browser) e una pagina manipolata ad hoc che, appena aperta, è capace di infettare il PC in modo silente sfruttando proprio quella vulnerabilità.

Grazie al controllo di EMET sul processo vulnerabile, quest'ultimo resta tale fino al rilascio dell'apposita patch ma si spezza il meccanismo attorno al quale vive l'exploit impedendo generalmente che abbia successo.



F.A.Q.

1) Non è un Antivirus

2) E' compatibile con tutti i sistemi VISTA+ indipendentemente dalla loro architettura.

3) Non richiede manutenzione una volta settato.

4) Non impatta sulle performance se non in misura marginale.

5) Protegge di default una serie di programmi di uso comune considerati particolarmente sensibili al rischio exploit.

6) Permette di tarare a piacere le tecnologie di mitigazione native al sistema operativo.
(Non si corre pertanto il rischio di favorire la comparsa di BSoD anche là dove si dovesse optare per settaggi di sistema particolarmente restrittivi)

7) Proteggendo un'applicazione si proteggono anche i relativi plugin?
SI

*CONFIGURAZIONE DI BASE*

E' sufficiente portare a termine il processo di installazione avendo cura di selezionare l'apposita opzione che costruisce automaticamente una lista di quelle che sono le applicazioni considerate comunemente vittima di attacchi.
http://s22.postimg.org/svqhny0zh/Image_001.jpg (http://postimg.org/image/svqhny0zh/)

Nella fattispecie sono riconosciute come tali Internet Explorer, i moduli di Java/Office e poco altro.

Il programma agirà in maniera trasparente ponendo sotto il suo controllo i programmi in questione ogni volta che questi dovessero essere eseguiti.

Il LIMITE evidente di questa configurazione, allora, è che considera potenzialmente attaccabili solo un ventaglio molto ristretto di processi.



*CONFIGURAZIONE AVANZATA*

Per superare il limite evidenziato e visto che il tool si propone di proteggere un qualsiasi processo dal rischio exploit, la nostra attenzione si deve spostare anche sul resto dei software installati localmente.
L'obiettivo, infatti, è istruire il programma in modo tale ogni qual volta un particolare processo venga eseguito, questo funzioni sotto la supervisione di EMET.

Le operazioni da compiere per integrare la lista predefinita di applicazioni protette è sintetizzata sotto.

Terminata l'installazione avendo avuto cura di selezionare l'impostazione raccomandata,
http://s22.postimg.org/svqhny0zh/Image_001.jpg (http://postimg.org/image/svqhny0zh/)

è necessario optare anzitutto per una configurazione di sistema più rigida: menù a tendina → Maximum Security Settings
http://s4.postimg.org/rry93enzt/image.jpg (http://postimg.org/image/rry93enzt/)

Gli effetti risultano immediatamente visibili:
i pulsanti infatti diventano verdi e viene richiesto il riavvio per applicare in modo permanente le nuove impostazioni.
http://s27.postimg.org/ickdo7wtb/image.jpg (http://postimg.org/image/ickdo7wtb/)

Nonostante la segnalazione della necessità di un riavvio è possibile passare subito alla scheda che gestisce i processi che devono essere protetti dal tool.
http://s27.postimg.org/p4yoqj2lb/Image_10.jpg (http://postimg.org/image/p4yoqj2lb/)

La schermata che ci viene presentata risulta popolata da una serie di voci che, come abbiamo visto, è stata costruita in via automatica durante l'installazione.
http://s29.postimg.org/5va02kneb/Image_1.jpg (http://postimg.org/image/5va02kneb/)

Osservando allora l'elenco, ci rendiamo subito conto che sono esclusi elementi come Google Chrome e tanti altri che sono solitamente vittime di attacchi.

Aggiungerli risulta cmq operazione banale nel momento in cui se ne conosca il percorso.
http://s27.postimg.org/v129osdlr/Image_007.jpg (http://postimg.org/image/v129osdlr/)

Al termine dell'operazione è necessario riavviare il PC.
http://s2.postimg.org/6ga2xexl1/Image_008.jpg (http://postimg.org/image/6ga2xexl1/) → http://s28.postimg.org/wt5ukwfx5/Image_009.jpg (http://postimg.org/image/wt5ukwfx5/)



*IPOTESI DI UN PROGRAMMA "EMETIZZATO" CHE DOVESSE PRESENTARE PROBLEMI*

L'effetto è il vederlo terminare inaspettatamente.
http://s12.postimg.org/e842trwy1/Image_011.jpg (http://postimg.org/image/e842trwy1/)

Controllando però il popup generato, si ricava al volo quella che è la mitigazione imputata del malfunzionamento.
http://s16.postimg.org/4diyb9udt/Image_012.jpg (http://postimg.org/image/4diyb9udt/)

La cosa da fare, allora, è procedere alla disattivazione manuale della mitigazione in oggetto per il processo che non la digerisce (VLC nell'esempio).

.

Grazie mille, domani lo installo.
Ciao nipotino :)

Installato, per ora con impostazioni automatiche, poi vedrò piano piano.
Ciao :)

installato da quando ne hai fatto parola nell'altro thread.
ogni tanto da fastidio a Silverlight (o più probabilmente, è Silverlight a far cazzate) per il resto, finora, no problem.

tripletta UAC + Def + EMET .

sarei curioso di provarlo fisicamente su una macchina che venga poi infestata ad hoc.

Mi iscrivo,in download (ma è normale che il tempo stimato sia 25 minuti?)

Anch'io,al momento e utilizzando solo ie,userò le impostazioni di default.

Grazie nv25

Molto interessante, l'ho installato ma ho da chiedere una cosa...una volta aperto nella parte bassa si notano i processi attivi e sulla colonna di destra denominata "Running EMET" non c'è nulla, tranne che nei processi relativi ad IE, dove compare una flag verde.
Come mai compare solo con IE? Per i settaggi ho flaggato quelli raccomandati dal wizard

"Running EMET" è seguito dal flag verde...solo se il processo emetizzato è in esecuzione in quel preciso momento, in caso contrario...


Per toglierti ogni dubbio, prova a lanciare un qualsiasi altro eseguibile protetto di default e vedi cosa succede, ciao.

ES:
ipotizziamo che di default EMET protegga solo 2 eseguibili:
IE e Windows Media Player.

Se il 1° è in esecuzione mentre il 2° è chiuso ---> flag solo su IE
Se il 1° e il 2° sono in esecuzione ---> flag su entrambi
ecc..

Il problema infatti è che ad esempio con Chrome il flag non c'è e lo stesso era avviato, stessa cosa per WLMail. Presumo quindi abbia sbagliato qualcosa o non si sia installato correttamente.

La spiegazione, molto semplicemente, è che il programma di default non protegge quegli eseguibili (io la chiamo FASE 2).


In sostanza, quando uno installa EMET deve chiedersi una cosa:
sul PC sono installati esclusivamente i programmi elencati nella scheda Apps?

Nell'ipotesi allora in cui vi siano anche altri programmi oltre a quelli contemplati di default, qualcuno di questi è per caso "delicato"? (= interfacciandosi su contenuti ignoti, quindi potenzialmente pericolosi, può essere usato come leva per un attacco?)

Fatta questa considerazione, non si fa altro che aggiungere l'eseguibile incriminato in EMET cosi' che ogni volta che questo viene aperto risulti protetto..


Ma chi si interfaccia allora su contenuti potenzialmente pericolosi configurandosi quindi come "programma delicato"?
Gira e rigira i soliti strumenti.

I Browser (dunque non solo IE che è invece l'unico coperto di default da EMET), i lettori di contenuti multimediali (quindi non solo WMP come ci vorrebbe far credere EMET), IDEM per la parte Office.

Alla fine della fiera, da manipolare c'è realmente poco...

Infatti ora li ho configurati e il falg verde è comparso..

Grazie nv25

Da non conoscente di questo EMET, qualcuno sa dirmi come installarlo correttamente senza far danni? :)

.

Premetto che mi sono informato per ora poco sull'argomento. In ogni caso, funzionando, a quanto posso ipotizzare, come una sorta di "virtual box di sicurezza", in che misura è quantificabile l'impatto di EMET e dei software emetizzati sulle prestazioni generali del sistema (risorse CPU, RAM e disco), e l'impatto sulle performances dei singoli processi emetizzati?

dipende sempre dall'ambiente.

cliccami per uno dei soliti tanti benchmark (http://mbrownnyc.wordpress.com/performance-analysis/enhanced-mitigation-experience-toolkit-emet-memory-speed-analysis/)

Molto interessante! :)

Appena installata, come l'avete configurato EMET? postate gentilmente le vostre configurazioni!! :D :D :D :D

non esistono configurazioni miracolose o esclusive per qualcuno.



Posto che a livello di sistema la configurazione di default è accettabile (anche perchè riflette le impostazioni decise in s eno alla MS per ogni dato sistema operativo), per capire quali processi debbano essere protetti oltre a quelli di default è sufficiente esaminare proprio la lista predefinita.

Se di default ad es. EMET protegge i processi di Office ma noi usiamo LibreOffice, proteggeremo i processi di LibreOffice :stordita:...

Se di default EMET protegge IE e Windows Media Player ma noi impieghiamo Opera & VLC, ne proteggeremo i relativi binari...


Non credo sia difficile da capire, no?

Molto interessante.
Thread aggiunto ad entrambi gli indici di sezione, 7 e 8 ;)
Titolo modificato.

Buongiorno,premesso che è un bel po' che non prendo infezioni strane,lo ho installato e configurato per la massima protezione assieme al UAC impostato al max.
Non mi sembra occupi granchè di risorse,anzi....è molto parco.
Non ho aggiunto nulla...utilizzando solo i canonici programmi che erano gia inseriti di default,in caso,la procedura per la configurazione manuale è molto semplice e intuitiva.
L'unica "scocciatura" ,se cosi la vogliamo chiamare,è data dall'impostazione max dello UAC che interviene anche se si apre il taskmanager.


Comunque mi sembra una bella accoppiata il defender più EMET.



PS: nv....ma perché scrivi le note cosi in piccolo??? io ho una certa età e sono mezzo cecato.....hahahahahah.....:)

Come utilizzatore di Online Armor free firewall mi piacerebbe sapere se la modalità protetta applicabile è paragonabile a quella di EMET...giusto per non creare un duplicato.

Come utilizzatore di Online Armor free firewall mi piacerebbe sapere se la modalità protetta applicabile è paragonabile a quella di EMET...giusto per non creare un duplicato.

non è paragonabile.
semplicemente non centra un'acca.

il Firewall guarda il traffico dati sulle porte di comunicazione.

EMET crea una sandbox attorno ai processi guardati, che impedisce a loro di sfruttare exploit.


daccordo che è un software "in sviluppo", ma mi chiedo come mai non sia già integrato nel sistema, per lo meno dalla versione Professional in poi....

se hai bisogno, chiedi.

Anzi, dimmi in pvt quali software usi per interfacciarti ad internet (se browser diversi da IE,...) che ti do un paio di dritte (banali)

lo prendo in considerazione come aiuto colletivo :)
appena installata! lasciato tutto di default, ancora siamo alle prime armi
cerco di capirci qualcosa :rolleyes:
il DEP e SEHOP vanno attivati? Always ON ?
grazie

...
tripletta UAC + Def + EMET .

sarei curioso di provarlo fisicamente su una macchina che venga poi infestata ad hoc.

ah ah ..
cosa sarebbe quel "Def" ?!
io ho Sandboxie, l'ultima versione free 4.04
devo lasciarla, va in conflitto/duplicato con EMET !?

aggiunte applicazioni:
skype
utorrent
wmplayer
vlc ...

Gli exe di itunes e quicktime (servizio bonjour) anche ?
ne avete altre da consigliare tra le più diffuse ...
non so come inserire i plug-in adobe shochwave e simili

non è paragonabile.
semplicemente non centra un'acca.

il Firewall guarda il traffico dati sulle porte di comunicazione.

EMET crea una sandbox attorno ai processi guardati, che impedisce a loro di sfruttare exploit.


daccordo che è un software "in sviluppo", ma mi chiedo come mai non sia già integrato nel sistema, per lo meno dalla versione Professional in poi....

Il firewall controlla anche gli applicativi oltre che le connessioni ad internet.OA consente inoltre di applicare la modalità protetta su applicativi da noi scelti riducendone i diritti.comunque per l'intanto lo proverò

Quando lo chiudo però non mi va in system tray anche spuntando l'apposita casella...

dici di mettere la spunta su "Tray Icon" e non va in icona?!

cosa sarebbe quel "Def" ?!

il semplicissimo Defender. ^^

io ho Sandboxie, l'ultima versione free 4.04
devo lasciarla, va in conflitto/duplicato con EMET !?

ecco. questo non lo so. probabilmente Sandboxie ha a che fare con la stessa cosa, ma tutto si risolve... guardando cosa fa Sandboxie. ^^

il semplicissimo Defender. ^^

queste abbreviazioni mi tirano scemo ... ah ah
anch'io, alla faccia di MSE :)

ecco. questo non lo so. probabilmente Sandboxie ha a che fare con la stessa cosa, ma tutto si risolve... guardando cosa fa Sandboxie. ^^

:rolleyes:
a dirla tutta l'avevo abbandonato, ma mi è venuto il pallino di reinstallarlo
l'ultima versione che tra l'altro alcuni utenti mi sconsigliano per via della giovinezza dello stessa release!

attualmente sto protetto su questa linea:
MSE + UAC + Sandoboxie + EMET + IE9 (activex e protez. monitoraggio attivi)

queste abbreviazioni mi tirano scemo ... ah ah
anch'io, alla faccia di MSE :)
ps.
su Windows 8, MSE = Defender. semplicemente è tutto completo e integrato nel sistema.

mentre su Seven e precedenti, Defender è solo il modulo antimalware, e MSE l'antivirus.

Bravo nV, diffondi il morbo della sicurezza :O
Ti rispondo in ritardo :asd:

In prima pagina ti consiglio di aggiungere una sorta di Q&A altrimenti entro breve ti ritrovi a rispondere sempre alle stesse domande tipo:
A chi é destinato emet?
Può creare incompatibilità?
Qual'é la configurazione iniziale migliore?
etc.

In questo modo l'esperienza nel thread migliorerà ed anche il nubbio avrà una sorta di manuale d'uso e non avra scuse, installiamo emet su ogni PC :O

lo prendo in considerazione come aiuto colletivo :)
right!
il DEP e SEHOP vanno attivati? Always ON ?
ok, si risponde a questo cosi' da evitare altre domande analoghe.

Appena installato, EMET non fa altro che "leggere" le impostazioni di default previste per quel dato sistema operativo relativamente al DEP/ASLR.

A regola, quindi, il settaggio si trova su OPT-IN (che significa: non usare la tecnologia tal dei tali A MENO CHE il processo non lo richieda espressamente).

Ora:
di fatto tutti i processi di sistema sono compilati in modo tale da avvalersene, pertanto su questi non esiste alcun problema.

Ne discende, allora, che esclusi dalle mitigazioni di sistema *potrebbero* essere processi di terze parti se non espressamente compilati secondo i dettami MS.

Cosa che, aimè, succede con una certa frequenza...


Preso atto di ciò, settando il DEP su "sempre attivo" (Always on), si forzano i processi all'uso di quella tecnologia indipendentemente da come siano stati compilati.

Al limite, il rischio per l'utente è il CRASH del programma se questo proprio non vuol saperne di funzionare in modalità forzata (raro).

E' evidente, allora, che l'impostazione di default è preferibile là dove si vuole evitare sul nascere qualsiasi problema.

Se si è disposti invece a correre qualche rischio (che, ripeto, potrebbe essere il crash di un programma ma non certo un BSOD...), allora è evidente che sarebbe opportuno dare un giro di vite alle impostazioni di default (anche perchè credo che un malware possa chiamare l'apposita funzione SetProcessDEPPolicy per spianarsi la strada, cosa che invece le è preclusa se trova di fronte a se un "Always ON").

Alla fine della fiera, un DEP/SEHOP sempre attivi e un ASLR su OPT-in (default) è sicuramente un'impostazione preferibile

...installiamo emet su ogni PC :O

...di utenti che frequentano quantomeno un forum di informatica credo sia caldeggiato...

Gli altri...

Cerco cmq di far tesoro dei tuoi consigli.

aggiunte applicazioni:
skype
utorrent
wmplayer
vlc ...
perfetto
Gli exe di itunes e quicktime (servizio bonjour) anche ?
premesso che nel più ci stà il meno :D , la risposta è SI

non so come inserire i plug-in adobe shochwave e simili
se è come Flash Player, protetto IE si protegge automaticamente anche il plug-in...

enfatizzo inoltre un altro discorso:

EMET non è un Antivirus e non rappresenta cmq il duplicato di nessun'altra soluzione di sicurezza perchè fa semplicemente cose "inedite".

Allo stato, cmq, è possibile che le mitigazioni per-processo possano risultare indigeste a diverse soluzioni di sicurezza...

grazie nV 25 :)

sai perchè EMET non memorizza le applicazioni che avevo aggiunto in lista ?
dovrei esportare la lista ed importarla?
è impostato su "Recommended settings"

.

Ciao nV. ;)

Complimenti (e ho letto tutta la prima pagina ovviamente) anche se non lo uso (come sai affido questo tipo di protezione a CIS).

Ciao nV. ;)

Complimenti (e ho letto tutta la prima pagina ovviamente) anche se non lo uso (come sai affido questo tipo di protezione a CIS).

ciao anche a te. :)


+ che i complimenti mi farebbe piacere tu lo installassi :stordita: , ciao!!

Ben fatto ;)

Non mi sono chiare due cose:
-emet protegge contro tutti gli exploit o, come penso, solo per un tipo di esso?
Cioè, a quale tipo stai pensando?

La copertura di EMET sui processi emetizzati è generica e dovrebbe abbracciare quantomeno tutti gli exploit portati sui processi...

In poche parole, i Kernel Mode exploit presumo siano esclusi dato che dovrebbero essere coperti solo con le apposite patch a rilascio mensile...

-se vado in un sito X che usa una vulnerabilità di firefox (o altro browser), e io l'ho emetizzato, dovrei (alla luce della prima domanda) essere protetto, ma se richiamasse Java e se non l'ho protetto a sua volta, verrei infettato?
a regola se castro l'exploit su Firefox è impedita anche l'apertura (malevola) di Java.

Detto questo, se usi Java *DEVI* proteggerne gli eseguibili per forza di cose, tant'è vero che le regole di default incorporano già quanto necessario...

Mica le hai cancellate??? :mbe:

Ps. non si potrebbe fare una lista di compatibilità fatta direttamente da noi? Per esempio, firefox può essere emetizzato tranquillamente? E jdownloader?
Hai voglia te, basta contribuire :D ...

Giusto per la cronaca Emet su Windows 8.1 funziona :)

allora siamo in 2 ad usarlo, dai...:D


Se ci fosse un pò più di entusiasmo si potrebbe vedere di aggiungere qualcosa alle FAQ ma, allo stato, direi che è anche troppo quello che c'è :fiufiu: ...

E' disponibile EMET 4.1 http://www.microsoft.com/en-us/download/details.aspx?id=41138 :)

Gerardo

E' disponibile EMET 4.1 [...]
:ave:

e non si aggiorna tramite WUS? installazione a mano sopra la 4.0? :vogliotroppo:

ARTICOLINO su Technet del Rilascio di EMET 4.1 (http://blogs.technet.com/b/srd/archive/2013/11/12/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx)

ma non parla di update.

l'installer stesso crea %ProgramFiles(x86)%\EMET 4.1 , ovviamente la precedente è in EMET 4.0 .

non ho fatto ancora nulla, ho chiuso l'installer.

devo disinstallare a mano la vecchia?

devo provare un windows update?

helpatemi, favore.

la 4.1 può essere sovrascritta (procedura che ho seguito io) altrimenti percorri il classico disinstalla/reinstalla.


Sulla mancanza di un banalissimo meccanismo di aggiornamento automatico:
è evidente che chi sviluppa il tool (figure con le °° quadrate) è più teso alla sostanza che non alla forma, altrimenti non si spiega perchè alle soglie del 2014 non ci abbiano pensato.

Ora:
se sulla sostanza non c'è possibilità di voce in capitolo per evidenti motivi, sulla forma potremmo anche farci sentire perchè migliorie potrebbero essere adottate, e infatti anch'io nel mio piccolo avrei in mente qualcosa.

Gerardo?

Può essere utile?

eh, un messaggino forward al team...

Appena installata la 4.1 su Win8.1 Pro x64.
Ho attivato il profilo per la sicurezza massima (dep e sehop always on) e il rilevamento dei deep hooks per le applicazioni, al momento non sembrano esserci incompatibilità.

Funziona anche il servizio per l'utilizzo dei visual style non standard (uxstyle) e il tool per le trasparenze di esplora risorse (system transparency), pensavo che soprattutto il primo potesse dare problemi.

Beccata un'app incompatibile con il DEP impostato su Always ON :fagiano:
http://fear-community.org/
Nessun problema invece con il SEHOP.

Anche disattivando tutte le mitigazioni per gli eseguibili del gioco nella scheda Apps non ne vuole sapere di partire, il processo si apre e chiude subito dopo.

risultati impressionanti :read: a favore di EMET da uno studio indipendente,

http://i41.tinypic.com/2e2m3v7.jpg

http://i44.tinypic.com/i6i6wp.jpg

da http://www.virusbtn.com/pdf/conference_slides/2013/Niemela-VB2013.pdf






Notizie tratte da Tests of EMET (http://www.wilderssecurity.com/showthread.php?t=358670)

in realtà, mi sono accorto solo da poco che l'unico studio significativo per la sua attualità è il primo essendo datato infatti 16/10/2013...

Ora edito il post, scusate

io ormai lo installo su tutti i pc che assemblo :sofico:

Ragazzi io ho Windows 7 a 64 bit e un pc del 2010 ma ancora ottimo spero, questo EMET sembra un must have, mi consigliate di metterlo? Grazie
La mia configurazione è questa ma purtroppo di exploits ne ho:
http://s21.postimg.org/vz9ei5ol3/Immagine.jpg

...questo EMET sembra un must have,
togli il sembra mi consigliate di metterlo?
alla grande
ma purtroppo di exploits ne ho
?

rispondo al "?":

io pensavo che gli exploits fossero qualcosa di simile ai crashes, invece no e non so cosa siano, cmq lo metto e cerco di trovare il significato, grazie ;)

edit-installato.

Uppino

Se qualcuno avesse aggiornato VLC alla versione 2.1.3, si sarà sicuramente accorto che EMET ne impedisce l'esecuzione.

L'ostacolo, cmq, si aggira velocemente rimuovendo l'apposito flag alla mitigazione che da noia (SimExecFlow).

E' evidente però che questa strada debba essere considerata come temporanea dato che si aumenta inevitabilmente il grado di libertà concesso a VLC e quindi, di riflesso, il margine di manovra concesso all'eventuale exploit che sfrutti proprio questo player per i propri scopi.

In altri termini, se rilassare un settaggio ad un programma di per se significa poco, si deve considerare che cosi' facendo si va ad incidere sul rischio (di infezione) cui è soggetta la macchina.

Vlc 2.1.3 is stopped by EMET 4.1 ... (http://social.technet.microsoft.com/Forums/security/en-US/b603ecaa-441c-4256-8f3f-ce5c33e3723a/vlc-213-is-stopped-by-emet-41-when-using-popular-softwarexml-protection-profile-triggered?forum=emet)
VLC V2.1.3 crashes with MS EMET (https://forum.videolan.org/viewtopic.php?f=14&t=117231&p=398192&hilit=emet#p398192)

Bypassing EMET 4.1 (http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/)

full technical whitepaper.pdf (http://bromiumlabs.files.wordpress.com/2014/02/bypassing-emet-4-1.pdf)


La prima lezione che si ricava è che, nel momento in cui viene definito un obiettivo preciso da attaccare, questo prima o poi cede.

Attenzione xò a non cadere nel facile tranello che vede giustificare l'inutilità del tool in questione dal fatto che è (e sarà sempre) bypassabile da un attacco mirato vuoi perchè per portarlo a termine è richiesto uno sforzo intellettuale non comune dato che il tool va ad innalzare significativamente l'asticella della complessità richiesta per sferrare un attacco aumentando di conseguenza il "costo" sotteso allo sviluppo di un exploit di questo tipo, vuoi perchè il mondo reale è molto più semplice e, in questo mondo, EMET riesce a farsi valere,
CVE-2014-0322 (http://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx)

"The Enhanced Mitigation Experience Toolkit (EMET) is also an effective way to block the targeted attacks we have analyzed.
This particular exploit explicitly checks for EMET and refuses to run on any system where EMET is installed.
However, even with the exploit’s EMET check removed, the default configuration of EMET blocks the attack.
In this particular case, EMET’s EAF and Anti-Detour features block the exploit in the default EMET configuration.
With EMET’s “Deep Hooks” feature enabled, the MemProt, StackPivot, and CallerCheck features each independently are capable of blocking this exploit.
We are pleased to see EMET continuing to provide protection for a significant portion of memory corruption exploits today.
On that note, we found that in the second half of 2013, all in-the-wild exploits that we encountered that have leveraging memory corruption for code execution were blocked by EMET!"


Poichè cmq il bypass è stato comunicato per tempo a MS, è attesa a breve giro di boa una nuova versione che va a risolvere i problemi evidenziati.


Alcuni ricercatori sconfiggono le difese dell'antiexploit Microsoft EMET (http://www.ilsoftware.it/articoli.asp?tag=Alcuni-ricercatori-sconfiggono-le-difese-dell-antiexploit-Microsoft-EMET_10723)

Non ho letto il pdf, ma si sono preoccupati di bucare solo emet o sono cmq passati da antivirus e altre pappardelle simili?
solo il 1° dato che l'obiettivo dello studio era osservarne meglio i limiti.

Al di là di come si sviluppa il bypass che è evidentemente ermetico per chi non mastica la materia, sono da soppesare bene anche le note del lavoro che sottendono secondo me concetti più ampi (vedi in particolare la n29 "Though EMET is far from perfect, I personally see Microsoft making more of an effort toward security compared to other large vendors" e 20 "Enabling the non-default deep hooks would help catch this bypass, but we assume other bypasses could be found, and doubt users will change from the default EMET settings")...

La 29, infatti - anche se si riferisce ad EMET-, è quello che in generale i ricercatori attribuiscono al progetto 8.x per quanto alla massa interessi 0 tesa com'è a giudicare il prodotto riconducendolo al solo elemento ModernUi...

Announcing EMET 5.0 Technical Preview (http://blogs.technet.com/b/srd/archive/2014/02/25/announcing-emet-5-0-technical-preview.aspx)

che annuncino di integrarlo in windows 9 così come MSE è diventato il defender di 8/8.1 .

non capisco perchè tenerlo:
separato da windows
non pubblicizzato alla massa
senza installer-updater da versione precedente / senza update via WUS

cioè, sempre cose fatte a metà? ok, la metà che viene fatta è portentosa.
ma è metà.

:D

Bypassing EMET 4.1 (http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/)

[...]

Poichè cmq il bypass è stato comunicato per tempo a MS, è attesa a breve giro di boa una nuova versione che va a risolvere i problemi evidenziati.

Si ricavava in verità dalle note del testo (in particolare la n°20 che avevo peraltro già citato metabolizzandola però evidentemente fino ad un certo punto), ma mi è stato confermato che anche la vecchia versione avrebbe "rotto" il bypass a patto che fosse stata abilitata (come da raccomandazioni) la voce "Deep Hooks".

Deep Hooks attivo = NtProtectVirtualMemory hook(ed), di conseguenza lo Stage 2 dell'exploit -indicato a pag15 dello studio- si sarebbe "rotto".


Per venire quindi al paragrafo "Disclosure and thounghs on repair", vediamo che con la v5.0TP è stato fatto proprio tanto il consiglio relativo all'attivazione di default della funzione incriminata quanto quello dell'introduzione di un meccanismo più sofisticato che mascheri meglio gli indirizzi di memoria dove sono mappate le API (EAF+)* mentre è completamente trascurato il consiglio n°4 che vorrebbe vedere l'estensione delle mitigazioni di tipo ROP ai processi a 64bit.




*In order to do something “useful”, shellcode generally needs to call Windows APIs. However, in order to call an API, shellcode must first find the address where that API has been loaded. To do this the vastmajority of shellcode iterates through the export address table of all loaded modules, looking for modules that contain useful APIs.

che annuncino [...]

che vuoi che ti dica?

Onestamente preferisco si concentrino più sulla sostanza che non sulla forma come stanno facendo ora, tant'è vero che di tutti i consigli che mi sono permesso di girargli per migliorare quella che secondo me sarebbe l'esperienza d'uso del programma (in poche parole, renderlo meno corporate) ne hanno preso in considerazione... 0 :D

http://microsoft-news.com/ie11-w-emet-unhacked-at-pwn2own/

:)

http://microsoft-news.com/ie11-w-emet-unhacked-at-pwn2own/

:)

la conferma che con EMET IE11 è ancora di più il browser DEFINITIVO.:sborone:

Molto interessante, magari quando esce il 5 lo provo, ma è necessario tenere abilitato il "UAC" di Windows?

A quali programmi si sostituisce completamente? A parte l'antivirus (io uso Avast Free) che va lasciato come base, di quali altri programmi posso fare a meno che invece avrei affiancato all'antivirus stesso?
Esempio:
Malwarebytes+HitmanPro+HitmanPro.Alert

[...] è necessario tenere abilitato il "UAC" di Windows?
sono 2 cose completamente diverse.

L'UAC è una sorta di separatore di privilegi pensato per far si che chi usa il PC lo faccia con il minor grado possibile "di libertà" indipendentemente dal fatto che l'utente loggato sia amministratore o utente, e questo in virtù del fatto che i diritti pur ridotti che gli sono accordati in fase di log-in sono cmq sufficienti per lo svolgimento delle attività quotidiane.
Ne discende, allora, che non solo dell'UAC non si dovrebbe fare *mai* a meno, ma anche che sarebbe opportuno farlo nella sua forma più piena (quindi, con l'UAC impostato al suo valore massimo dato che a default è bypassabile per una serie di ragioni).

EMET, invece, porta tecnologie inedite a favore dei processi per far si che questi risultino il meno possibile exploitabili.


In conclusione:
su qualsiasi PC è caldamente raccomandato l'uso contemporaneo delle 2 "tecnologie".


A quali programmi si sostituisce completamente? A parte l'antivirus [...], di quali altri programmi posso fare a meno che invece avrei affiancato all'antivirus stesso?
Esempio:
Malwarebytes+HitmanPro+HitmanPro.Alert

Punto 3 delle F.A.Q., quindi al momento tutti i nomi che hai citato nell'esempio gli potrebbero essere affiancati...

sono 2 cose completamente diverse.

In conclusione:
su qualsiasi PC è caldamente raccomandato l'uso contemporaneo delle 2 "tecnologie".


Sì lo so che sono due cose diverse, che sia raccomandato ok (ma è una gran rottura alle volte), ma la domanda è: EMET necessita dell'UAC attivo per funzionare o si può lasciare disabilitato? Perchè avevo letto da qualche parte che bisognava attivarlo, mi sembrava strano per cui chiedevo conferma.

Punto 3 delle F.A.Q., quindi al momento tutti i nomi che hai citato nell'esempio gli potrebbero essere affiancati...

No, io non è che li vorrei affiancare, io li vorrei eliminare se EMET fa lo stesso lavoro, quindi rendendo inutili altri software.
Malwarebytes non ha molto a che fare con EMET quindi penso sia un tipo di protezione aggiuntiva che eventualmente si potrebbe affiancare, quindi Avast+malwarebytes.
Per quanto riguarda Hitman Pro.Alert invece anche lui si occupa di exploit no? E la versione Cryptoguard anche dei crypto ransomware. EMET fa la stessa cosa?

Tutto questo più che altro per sapere alla fine se metto Avast + EMET, cosa mi manca? Avevo letto la prima pagina ma non ho ancora capito quali dei mille programmi di difesa che ci sono posso evitare e quali invece sono ancora da affiancare per completezza.

Sì lo so che sono due cose diverse, che sia raccomandato ok (ma è una gran rottura alle volte)
L'UAC è una gran rottura anche qualora fosse settato al massimo? :mbe:

Probabilmente sarete sempre alle prese con installer perchè, nel mio caso (e credo di fare un uso comune del mezzo), l'UAC non interviene *mai*. (Se mi fate anzi 2 esempi di vita quotidiana in cui ci si imbatte nella richiesta di elevazione ve ne sarei grato).

ma la domanda è: EMET necessita dell'UAC attivo per funzionare o si può lasciare disabilitato?
a regola si può fare a meno dell'UAC...

No, io non è che li vorrei affiancare, io li vorrei eliminare se EMET fa lo stesso lavoro, quindi rendendo inutili altri software [...]

Se EMET non è un Antivirus nè rappresenta il duplicato di altre soluzioni di sicurezza, significa che tutto il resto è potenzialmente affiancabile (al momento, infatti, l'unico programma simile all'apposito tool MS è Malwarebytes Anti-Exploit (https://forums.malwarebytes.org/index.php?showtopic=136424) mentre HitmanPro.Alert 3 (http://www.surfright.nl/nl/home/press/surfright-announces-alert-3) è ancora in fase di gestazione e, se proprio deve essere, sarei cauto solo su questi)...


Per quanto riguarda Hitman Pro.Alert invece anche lui si occupa di exploit no?
al momento no (vedi sopra)
E la versione Cryptoguard anche dei crypto ransomware. EMET fa la stessa cosa?
NO.

EMET difende esclusivamente da quei malware che fanno leva sugli exploit per aprirsi la strada che gli consente di infettare successivamente la macchina (è un pò come se fossero "malware a stadi" dove il primo passaggio è il tentativo di prendere possesso delle risorse di un processo attraverso una sua debolezza per poi sfruttarle per dar origine all'infezione vera e propria [2° stadio]).

Se il malware non tenta di sfruttare debolezze ma si limita a fare quello che gli pare con meccanismi "trasparenti", EMET di fatto non serve a nulla (ecco perchè può servire sempre un Antivirus).


Tutto questo più che altro per sapere alla fine se metto Avast + EMET, cosa mi manca? Avevo letto la prima pagina ma non ho ancora capito quali dei mille programmi di difesa che ci sono posso evitare e quali invece sono ancora da affiancare per completezza.

di sicuro manca l'UAC per i motivi visti in precedenza.

Allo stesso tempo capirai che questo thread non può essere usato come una guida alle più disparate configurazioni per quanto adesso un'idea più chiara dovresti averla, no?

L'UAC è una gran rottura anche qualora fosse settato al massimo? :mbe:

Probabilmente sarete sempre alle prese con installer perchè, nel mio caso (e credo di fare un uso comune del mezzo), l'UAC non interviene *mai*. (Se mi fate anzi 2 esempi di vita quotidiana in cui ci si imbatte nella richiesta di elevazione ve ne sarei grato).


Al massimo ma anche al minimo... un esempio posso fartelo subito.
Ieri ho provato a metterlo al massimo... ed anche io credo di fare un uso comune del mezzo, lasciando perdere l'installer che è un caso a sè, nell'uso quotidiano a me ha subito dato noia.
Come sono andato a cliccare sull'icona di SRWare Iron (uso la versione portable, non so se con quella installata è uguale) l'UAC è immediatamente comparso ad avvertire di permettere modifiche e bla bla bla. Ovviamente non lo fa una volta e basta ma tutte le volte che si apre... quindi rimesso disabilitato.

Allo stesso tempo capirai che questo thread non può essere usato come una guida alle più disparate configurazioni per quanto adesso un'idea più chiara dovresti averla, no?
Certo, ci mancherebbe ma è una cosa nuova e poco diffusa, di cui si conosce poco e va un po' capito cosa fa e cosa non fa, per avere sicurezza e allo stesso tempo non appesantire inutilmente il pc con doppioni, forse è proprio perchè è qualcosa che lavora in modo così diverso dagli altri prodotti che è un po' difficile farne un quadro di paragone con altri software, che come dici praticamente non esiste altro di simile.
La sicurezza è importante ma se metto sul pc Avast+Malwarbytes+Hitman Pro+HitmanPro Alert+EMET giusto per fare un esempio o altri programmi similari, posso anche non creare conflitti ma di sicuro lo azzoppo un po'... :)

In fin dei conti ognuno dei software che hai elencato utilizza algoritmi e procedure proprietarie, quindi è impossibile stabilire a priori eventuali conflitti o analisi sovrapposte e ripetute inutilmente dei file e dei processi.
Per i PC domestici un buon antivirus, il firewall del router (e quello del sistema operativo) e un hips o un tool anti exploit come Emet sono sufficienti a garantire una protezione adeguata senza gravare sulle prestazioni.
Appesantire il sistema con altri programmi non mi pare conveniente in questo ambito.

A proposito di Emet, è sorprendente anche la sua efficacia rapportata alla facilità di configurazione e alla bassissima influenza sulle funzionalità del sistema. Dico questo perché in questi giorni ho approfondito un po' di più il funzionamento di AppArmor su Linux (opensuse) e necessita di una configurazione maggiore da parte dell'utente in alcune circostanze (vedi utilizzo di samba con condivisione di percorsi diversi dalla home).

uppino (l'ho rifatta tutta) :p

Domandina della buonanotte..............
E' possibile che Emet blocchi o "incasini" l'avvio o l'esecuzione di qualche programma senza darne notifica?
Lo chiedo perche', avendo provato ad installarlo due volte (una su xp e adesso su 7), mi sembra di aver notato qualche anomalia nel comportamento di taluni programmi, e vorrei capire se potrebbe essere Emet la causa.
Buonanotte.....:D

E' possibile che Emet blocchi o "incasini" l'avvio o l'esecuzione di qualche programma senza darne notifica?
Lo chiedo perche', avendo provato ad installarlo due volte (una su xp e adesso su 7), mi sembra di aver notato qualche anomalia nel comportamento di taluni programmi, e vorrei capire se potrebbe essere Emet la causa.

Prenderei a modello solo 7 visto che XP è ormai deceduto.

In linea di massima ti direi che non c'è alcuna relazione (e in quella direzione va peraltro la mia esperienza) ma, per esserne un pò più certi, avrei bisogno di qualche elemento in più per capire meglio il contesto nel quale ti trovi.

Ad es., le anomalie che noti sono legate ai programmi che hai emetizzato?
Prima dell'installazione di EMET non avevi mai percepito quel problema?
Prendendo a modello la mia "guida", come è configurato il tool?
Ti riferisci alla versione 4.1 Update di cui ho messo il link all'inizio del thread?
Hai altri software di sicurezza che lavorano in real time? Se si, quali?


Messa cosi' sembra il 3° grado e me ne scuso ma in realtà le tue risposte sarebbero preziose per permettermi di avere un quadro migliore, ciao!

o forse i programmi sono a tutto schermo e la notifica di Emet non riesce ad andare in primo piano.

il ragionamento che facevo io è questo (anche se, senza sapere quali sono i "taluni programmi" che gli creano fastidio è un pò un azzardo):

a) installo EMET → proteggo IE e Chrome → mi accorgo che un programma non emetizzato non parte (AutoCAD).
C'è una relazione?
Se esiste è da ricercarsi esclusivamente nei settaggi di sistema (DEP, ASLR,...):
in nessun modo, infatti, il quadro delle mitigazioni per-processo può avere un impatto su elementi non contemplati nella lista di programmi protetti.

Ma allora:
che impostazione di sistema è stata data? (di default, infatti, 7/8.x hanno attive quelle tecnologie seppur in stato "rilassato" [=Opt-in] per far si che gli effetti coinvolgano esclusivamente i processi di sistema cosi' da interferire il meno possibile con i processi di terze parti).


b) installo EMET → proteggo IE e Chrome → mi accorgo che proprio IE o Chrome presentano problemi ma non so risalire alla causa →

uso il pop-up per vedere la mitigazione che da fastidio cosi' da poterla rimuovere/mi servo dello strumento visualizzazione eventi dove è possibile risalire a quello che EMET ha eventualmente bloccato

c) EMET da semplicemente fastidio all'altro programma di sicurezza impiegato in real time sulla macchina

per cui, dove si trova il nostro amico nel panorama che ho appena presentato?
In a, b, c? (o d che al momento non mi è venuto in mente??)

Il non vedere l'eventuale pop-up di blocco, infatti (e cosi' in parte integro l'osservazione di Kronos) può essere "aggirato" controllando il registro eventi → voci relative ad EMET...

Anzitutto, vi ringrazio per le risposte..........Veniamo ai dettagli.
Il primo grosso scoglio è che, stupidamente, PRIMA ho disinstallato EMET, E POI
ho scrutto in questo forum. Quindi, dopo questo post lo reinstallo, e poi vediamo quello che succede...:)
Quindi tralasciando il buon vecchio XP, in cui fra la'altro molti programmi non funzionavano piu' al meglio, veniamo al dunque, per quello che posso dire allo stato attuale:
Ovviamente, non so se i programmi in questione erano emetizzati, comunque, a memoria, ho riscontrato i seguenti problemi:
1) Programmi che, pur attivandosi tra i servizi, non partivano o si piantavano (live mail, km player, malvarebytes antimalvare, Sumo, PSI). In questo caso, dovevo andare in Servizi, disattivare il programma in questione, e provare a riavviarlo.
2) Installazioni che, dopo ampio "pensamento", si rifutavano di partire in quanto "probabilmente non disponevo della necessaria autorizzazione)
3) Antimalvare che aveva comportamenti anomali dopo l'aggiornamento delle firme.
Questi problemi non si sono verificati prima dell'installazione di Emet, ed Emet è l'unica installazione che ho eseguito negli ultimi giorni (ergo, niente smanettamenti strani), e questo è il motivo per cui ho pensato ad Emet e non ad altro.
Ho installato Emet 4.1, lasciandolo con le impostazioni raccomandate, ed aggiungendoci solo Firefox e Comodo Dragon, quindi direi che, prendendo a base la tua guida, non ho settato alcunche'.
Per quello che riguarda i software di sicurezza in real time, premesso che comunque "tutti" inseriscono un servizio in avvio (anche quelli non in real time), e che quindi, per ora, non considerero' questi, ho attivi Nod32 e CIS con sandbox disattivata.
Pop up di emet sono sempre stati assenti, sia in XP che adesso su seven, e tenderei ad essere sicuro che non ci fossero, visto che li ho cercati...:)
Mi sembra di aver ricordato tutto il ricordabile, e non sembrava un terzo grado, sono io che, inizialmente, ho posto un quesito generico, anche perche' non sono affatto sicuro che sia Emet la causa di tutti questi problemi.
Un'ultima cosa: dopo la disinstallazione di Emet, alcuni programmi hanno ripreso a funzionare (vedi SUMO) altri no (per esempio, Malvare lo ho disinstallato/reinstallato), Live Mail è sotto osservazione.
Comunque, adesso mi faccio un salvataggio della partizione C, poi reinstallo Emet, e vediamo...:)
Spero di essere stato esaustivo, mi scuso per la lungaggine, e grazie ancora per l'aiuto...
Ciao

secondo me la diagnosi è molto semplice:
c'è evidentemente un problema di coesistenza tra i software di sicurezza che hai citato e il tool della MS accentuato probabilmente da una certa confusione di partenza del tuo PC a livello software...

Nod32 ha un proprio modulo antiexploit + HIPS (Overview.pdf (http://static4.esetstatic.com/fileadmin/Images/US/Docs/Home/EAVv7-Solutions-Overview.pdf)) che di sicuro non favorisce la coesistenza con EMET nè con CIS.

Insomma, ritengo sia arrivato il momento di scegliere e semplificare il parco real-time anche qualora tu decidessi di non tenere EMET...

Che il Nod avesse un proprio HIPS lo sapevo, devo dire che, dopo anni di uso, non è mai entrato in conflitto con Comodo.
Non sapevo che avesse anche un proprio modulo antiexploit, ma mi sembrava di aver capito che Emet rappresentasse, per le sue caratteristiche, una cosa inedita.
A questo punto, direi, non reinstallo Emet e, qualora dovessi rilevare problemi, saprei gia' dove andare a cercare (comodo e Nod).
Ti ringrazio ancora e mi scuso per il tempo che ti ho fatto perdere.
Ciao:)

...mi sembrava di aver capito che Emet rappresentasse, per le sue caratteristiche, una cosa inedita.

era quantomeno cosi' fino a poco tempo fà poi, si sa, le mode (e infatti ora qualcosa di simile è integrato nelle nuove versioni di Nod32, Kaspersky, FSecure,...).

Tra integrare ed eccellere, xò, c'è la sua differenza e non a caso, nonostante l'aumento della pressione da parte di nuovi player, EMET resta il punto di riferimento delle soluzioni AntiExploit...

Si', ho notato, le opzioni HIPS e antiexploit sono presenti nelle configurazioni avanzate del NOD, che io non ho mai toccato, onde evitare incartamenti del pc (troppa sicurezza puo' fare piu' danni di un virus...:Prrr:, infatti il sottoscritto docet).
Quindi, in pura teoria, potrei disattivare l'HIPS del Nod e usare quello di CIS, oppure disattivare l'antiexploit del NOD ed usare EMET, oppure l'esatto contrario, ho capito bene?
Quindi, sempre parlando in teoria, è impportante avere attivo un solo modulo per tipo nel pc, affiancando eventualmente altri software solo a scansione, giusto?
Dico in teoria perche' immagino che fare tutto questo suoni un po' "psicopatico".........:)
Ciao

da WS (http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631/page-22), EMET 5.0 TP3 :sbav:


http://i57.tinypic.com/2pyz08w.jpg

La delusione, se cosi' si può dire, è che hanno rinfrescato graficamente solo la parte relativa alla scheda delle applicazioni (quando si opta per il taraggio-fine delle regole, vedi anche l'immagine precedente cui vi si accede attraverso la pressione del pulsante su sfondo celeste o Show All Settings).

C'è quindi una commistione di stili che, onestamente, lascia un pò a desiderare.

Se da un lato è carinissima la parte in foto, dall'altro abbiamo sempre il solito "vecchiume" (foto in prima) che si trascina dalla v1...

Va be' magari poi lo "sgrezzeranno" ancora un po' prima dell'uscita definitiva.. l'importante è che funzioni bene, non faccia casini, non appesantisca il sistema e protegga per bene. Io sto aspettando di provarlo con la 5 definitiva, ma si sa quando è prevista o quando arriva arriva?

siii, appunto, si va alle calende greche!!

La versione x i PC "di produzione" è la 4.1 Update1 e quella invitano ad installare...

Da ieri emet 4.1 mi blocca chrome.Ho dovuto toglierlo dalle applicazioni..

Da ieri emet 4.1 mi blocca chrome.Ho dovuto toglierlo dalle applicazioni..

Sei sicuro non fosse sufficiente disattivare l'opzione Caller Check (mitigation)?

http://i61.tinypic.com/2mdjkgy.jpg

(Qualora ti interessasse approfondire, fai pure riferimento a questo link: Chromium and EMET (http://www.chromium.org/Home/chromium-security/chromium-and-emet)).

La cosa curiosa, per quanto mi riguarda, è che pur avendo l'ultima versione di Chrome non incontro alcun problema (che OS hai??)...

Non ne ho mai fatto menzione nella "guida" ma è evidente che, se si vuol avere quasi tutta la pappa pronta per quanto riguarda l'individuazione di quali applicazioni proteggere oltre a quelle basiche individuate di default dal processo di installazione, è sufficiente cliccare su IMPORT → Popular Software.
http://i60.tinypic.com/5ti5d.jpg

L'effetto sarà quello di veder "figliare" le Apps protette nella scheda Application Configuration...

Da questa nuova lista di Apps, allora, si ricava che sono escluse dalla protezione giusto una manciata di programmi (di fatto esclusivamente gli eseguibili di LibreOffice/OpenOffice)...

Non solo:
importando le regole si importano evidentemente anche i settaggi consigliati (quindi, se l'applicazione XY identificata da MS come da doversi proteggere presenta una certa mitigazione come "fastidiosa" per il corretto funzionamento del processo in questione, questa sarà già disattivata di default)...

EMET scricchiola di fronte ai colpi assestati da nuovi competitor? (in particolare penso ad un nome preciso)...

Se interessa a qualcuno se ne può parlare altrimenti lascio perdere i monologhi.

Sei sicuro non fosse sufficiente disattivare l'opzione Caller Check (mitigation)?

http://i61.tinypic.com/2mdjkgy.jpg

(Qualora ti interessasse approfondire, fai pure riferimento a questo link: Chromium and EMET (http://www.chromium.org/Home/chromium-security/chromium-and-emet)).

La cosa curiosa, per quanto mi riguarda, è che pur avendo l'ultima versione di Chrome non incontro alcun problema (che OS hai??)...


Disattivata opzione caller e ora va.Ho windows 8.1..

ti ci sono voluti 2 mesi per disattivarla? :D (il tuo post, infatti, era del 23/5)...

EMET scricchiola di fronte ai colpi assestati da nuovi competitor? (in particolare penso ad un nome preciso)...

Se interessa a qualcuno se ne può parlare altrimenti lascio perdere i monologhi.

Ti riferisci a HitmanPro.Alert, a Malwarebytes Anti-Exploit, o c'è qualche nome nuovo?

.

siete in guerra ?

.

@ ezio:
sono temi che non interessano a prescindere dalle sezioni in cui li collochi, è cosi'...
Grazie ma lasciamo perdere...e forza Olanda!
Contro il Brasile poteva vincere pure la squadra della chiesa vicino casa mia :O

Per il thread stiamo valutando, in sezione AV sarebbe forse più rispondente ai temi trattati.

EMET scricchiola di fronte ai colpi assestati da nuovi competitor? (in particolare penso ad un nome preciso)...

Se interessa a qualcuno se ne può parlare altrimenti lascio perdere i monologhi.

il 1°...

Se interessa, è possibile vedere le ultimissime pagine di questo thread [link! (http://www.ilsoftware.it/forum/viewtopic.php?f=32&t=87765)](per un eventuale riassunto c'è tempo anche perchè mi sembra che su questo canale la questione interessi realmente 0)...

Ho spulciato un po' ma non ho trovato, aspetto il riassunto :D

Dopo un'attenta valutazione con i colleghi della sezione windows siamo giunti alla decisione di spostare il thread in questa sezione mantenendo il redirect in sezione windows.
buon proseguimento :)

Announcing EMET 5.0

http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx

Ho spulciato un po' ma non ho trovato, aspetto il riassunto :D
@nV 25
Vedo che hai cancellato gli ultimi due post riguardo alla notizia che avevi riportato; scricchiola o non scricchiola? io aspettavo aggiornamenti... se ci sei... :)

Announcing EMET 5.0

http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx

Qualcuno ha provato? Versione finale? L'accendiamo?

Versione finale, da accendere.

Se poi scricchioli, gli elementi per poterlo affremare o smentire sono allo stato inesistenti.

EMET mi segnala un problema, chiedendomi di inviare informazioni a microsoft:
"Files that help describe the problem:
C:\Users\.....\AppData\Local\Temp\emet_1izcguqr.xml
Read our privacy statement online:
http://aka.ms/emet41ps"

qualche suggerimento su come comportarsi (oltre a questo (http://robertsmit.wordpress.com/2014/03/10/enhanced-mitigation-experience-toolkit-emet-security/))? :mbe:

Una risposta a questo mio quesito? :p
http://hwupgrade.it/forum/showpost.php?p=41501641&postcount=4526

disinstallare/reinstallare

disinstallare/reinstallare

Grazie :)

ciao ragazzi..ho un dubbio, leggendo i precedenti post ho notato che puo creare confiliito con altri sw...io uso nod32 7 antivirus e windows firewall control...dite che posso installarlo normalmente oppure devo attivare/disattivare qualcosa che potrebbe creare conflitto? grazie

F.A.Q.

1) Non è un Antivirus nè rappresenta il duplicato di altre soluzioni di sicurezza perchè svolge operazioni inedite.
(Questa particolarità lo rende generalmente affiancabile ad altre soluzioni di sicurezza senza generare ridondanza)

Questo punto, aimè, valeva in particolare (diciamo) fino a Dicembre 2013 quando le varie Software House erano ancora lontane dall'integrare nei loro prodotti una funzionalità di questo tipo.

Adesso, invece (e non certo per un discorso di moda...), preso atto del fatto che gli Exploit rappresentano un veicolo importante di infezione, tentano di mettervi pezze integrando moduli proprietari adatti allo scopo.



Per concludere, quindi, diventa impossibile sapere a priori se la soluzione X confligga in qualche maniera con la Y.



Quello che è certo è che, pur con tutti i suoi limiti, EMET garantisce risultati efficaci.

grazie per la risposta..ho spulciato un po le features di emet ma non ho ben chiaro quali sono quelle che potrebbero andare in confiliito con Nod...cosa dovrei cercare?

eccomi ...vi seguo pure io! con la versione 5.1:D

Ciao n :) una domanda ?!?

Ho un xp che devo mettere in rete x motivi "X" .... contro gli exploit o 0-Day meglio tenere la 4.1 o passare alla 5.1 ?!?

4.1 (la linea 5+ non è certificata ufficialmente per XP).



XP che cmq, a questo punto, ha cosi' tante brecce da neutralizzare di fatto ogni beneficio che un tool come EMET possa portare.

Se potete quindi switchare ad un OS più moderno, non vi fate infinocchiare dalle chiacchiere di chi porta avanti la causa della sua attualità.

Si, lo so anch'io che funzionare funziona...ma non è questo il punto.


I castelli medioevali, infatti, persero la loro efficacia con l'avvento delle armi da fuoco.

Che bello, sono anche poeta...:D

A qualcuno è capitato che dopo l'installazione dell'aggiornamento di windows 8.1 da 700 mb, KB3000850, EMET 5.0 bloccasse explorer 11 all'avvio riscontrando un problema su EAF+?
Io me ne sono accorto ieri sera. E sono sicuro che prima di installare quell'aggiornamento non avevo di questi problemi.
Ho tolto la spunta ad EAF+ per l'eseguibile di explorer e funziona tranquillamente, il che non è un problrma visto che uso explorer raramente, ma volevo capire se devo aspettare un aggiornamento di explorer o magari di EMET.

A qualcuno è capitato che dopo l'installazione dell'aggiornamento di windows 8.1 da 700 mb...

Ma veramente c'è un aggiornamento da 700 MB?:mbe:

Ma veramente c'è un aggiornamento da 700 MB?:mbe:


Già...almeno al momento lo segnalano come "facoltativo"

...EMET 5.0 bloccasse explorer 11 all'avvio riscontrando un problema su EAF+?

La patch-ona da 700mb e rotti del 18/11 non c'entra nulla con il problema da te lamentato.

Quello che descrivi era noto a MS che, infatti, ha rilasciato la 5.1 poco prima dell'uscita delle patch di Novembre (per intendersi, quelle del 2° martedi' del mese) perchè è cambiata una cosa in IE 11 che ha reso la convivenza con la v5.0 problematica.

La patch-ona da 700mb e rotti del 18/11 non c'entra nulla con il problema da te lamentato.



Quello che descrivi era noto a MS che, infatti, ha rilasciato la 5.1 poco prima dell'uscita delle patch di Novembre (per intendersi, quelle del 2° martedi' del mese) perchè è cambiata una cosa in IE 11 che ha reso la convivenza con la v5.0 problematica.


Confermo che la versione 5.1 risolve il problema. Ma confermo anche che utilizzavo Explorer fino a che non ho riavviato per completare l'installazione di quella patch. Installazione di quella patch e quella soltanto.
Una volta riavviato Explorer non funzionava più...a causa di quella incompatibilità.

Nessun problema comunque...avevo disattivato prima EAF+ e ora riattivato e funziona tutto correttamente.

emet è meglio di altri antiexploit tipo quello della malwarebyte o hitman alert?

su win 8.1 64 bit me lo consigliate?

semmai una cosa:
chi fosse interessato a seguire le dinamiche che ruotano attorno a questo tool, è caldamente invitato a dare uno sguardo alla discussione che segue (come del resto faccio io),
EMET su Wilders Security (http://www.wilderssecurity.com/threads/emet-enhanced-mitigation-experience-toolkit.344631/)

Attenzione a non prendere per oro colato tutte le interpretazioni che si leggono (alcune delle quali, infatti, sono semplici stupidaggini) ma almeno la discussione è viva e ricca di riferimenti e notizie.

Chiedo qui anche se il thread è vecchio, ma non ne ho travati di più recenti sull'argomento.

Impostando EMET 5.5 in modalità Maximum Security Settings, mi crea un problema con l'avvio veloce di Windows 8.1 e la barra applicazioni, cioè appena accendo il PC spariscono quasi tutte le icone dei programmi dalla barra, cosa che si risolve riavviando il processo explorer.exe ogni volta, o impostando EMET su Recommended Settings. Volevo sapere se c'è un modo per usare la protezione massima ed evitare questo problema, tenendo attivo l'avvio veloce.

LOL ma hanno bannato pure nv25??

Davvero siamo oltre il ridicolo...:asd: