EMET v3.5 Tech Preview が公開されました


2012 年 7 月 25 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) v3.5 Tech Preview 版が利用可能となりました。この Tech Preview 版は名前の通りテスト目的で公開されており、v3.5 で新たに追加されたいくつかの緩和策が実際の環境でアプリケーションと互換性を保ち動作するかを広く確認していただくことを目的としています。

EMET v3.5 では新たに、Return-Oriented Programming (ROP) 攻撃に対する 4 つの緩和策が追加されています。詳細は SRD ブログにも記載の通りで、いくつかの緩和策は既知のものですが、マイクロソフトが昨年から懸賞金をかけて公募した BlueHat Prize Contest のファイナリストによる新たな緩和策も含んでいます。 

今回追加された 4 つの ROP 緩和策 (Caller checks mitigation、Execution flow simulation mitigation、Stack pivot mitigation、Special function checks (Load library checks およびMemory protection checks)) は、EMET v3.5 の UI では、ROP タブとしても確認できます。

   
  EMET v3.5では、緩和策 (Mitigations) のタイプごとにタブ分けされている

ROP の緩和策は既定ではどのアプリケーションにも有効にはなっていないため、有効にしたいプロセスを明示的に追加する必要があります。[File] – [Import] で EMET インストール フォルダ配下の Deployment\Protection Profiles にある All.xml をインポートすると、予め構成されたいくつかのアプリケーションをインポートできるので、構成が容易です。

 
[File] – [Import] よりインポート

 
インポート後の UI 

また、すべてのアプリケーションに対して特定の ROP の緩和策を有効にしたい場合は、xml ファイルの <DefaultConfig>/<Mitigations> を編集して、true に変更することで可能です。

  <DefaultConfig>
  <!– Default configuration –>

    <Mitigations>
      <!– Default migitations that will be applied to all the products unless each product explicity enables or disables certain mitigations –>
      <Mitigation Name=”DEP”                       Enabled=”true” />
      <Mitigation Name=”SEHOP”                   Enabled=”true” />
      <Mitigation Name=”NullPage”                Enabled=”true” />
      <Mitigation Name=”HeapSpray”             Enabled=”true” />
      <Mitigation Name=”EAF”                       Enabled=”true” />
      <Mitigation Name=”MandatoryASLR”      Enabled=”true” />
      <Mitigation Name=”BottomUpASLR”       Enabled=”true” />
      <Mitigation Name=”LoadLib”                  Enabled=”false” />
      <Mitigation Name=”MemProt”                Enabled=”false” />
      <Mitigation Name=”Caller”                     Enabled=”false” />
      <Mitigation Name=”SimExecFlow”          Enabled=”false” />
      <Mitigation Name=”StackPivot”              Enabled=”false” />
    </Mitigations >
  </DefaultConfig>

そのほか、今回の Technical Preview 版では、実際に ROP 悪用が行われた際に、その詳細をポップアップで通知し、ROP 緩和策による検証を無視してプロセスを継続するかプロセスを停止するかを選択できるようにしています。Technical Preview 版ということもあり、False Positive の場合に EMET が強制的にプロセスを終了しないように配慮しています。

EMET をすでに利用されている方、または利用を検討されている方は、今回の EMET v3.5 Tech Preview 版をインストールし新しい緩和策のアプリケーションとの互換性検証を進めていただけるとよろしいかと思います。なお、EMET v3.5 のインストールに際しては、以前のバージョンの EMET のアンインストールが必要です。既存の構成 (設定したアプリケーションや緩和策の構成) は EMET v3.5 で引き継がれます。

Skip to main content