Beheer

Windows 10
Windows 10-logo

Windows 10 niet zo veilig als geclaimd

Windows 10 zonder 'end of life' Enhanced Mitigation Experience Toolkit onveiliger dan Windows 7 mét.

25 november 2016

Windows 10 zonder 'end of life' Enhanced Mitigation Experience Toolkit onveiliger dan Windows 7 mét.

Microsoft faseert zijn Enhanced Mitigation Experience Toolkit uit. Windows 10 heeft die extra beveiliging niet nodig, stelt Microsoft. Niet waar, reageert een bezorgde Will Dorman van het Amerikaanse Computer Emergency Respons Team.

Microsoft maakte het besluit om EMET uit te faseren eerder deze maand wereldkundig in een blog op Technet. Moving beyond EMET, was de veelzeggende titel. Daarin constateert Microsoft dat EMET sinds de lancering in 2009 wel aan de doelstellingen heeft voldaan, maar tegen een prijs. Omdat EMET aangrijpingspunten diep in het besturingssysteem heeft naar functies waarvoor dat eigenlijk niet de bedoeling was, heeft toepassing ervan negatieve gevolgen voor de prestaties. En bij iedere upgrade van besturingssysteem of applicaties liggen compatibiliteitsproblemen op de loer, aldus Microsoft.

EMET is bovendien een reactief tool. Het werkt wel tegen bekende inbraakpogingen, maar biedt geen bescherming tegen nieuwe methoden. Online zijn dan ook gewoon manieren te vinden om EMET te omzeilen.

Windows 10 veel effectiever, meent Microsoft

Windows 10 is zo ontworpen dat het veel effectiever is tegen courante inbraakmethoden. Dat blijkt ook uit de praktijk, stelt Microsoft: EMET 5.5 werkt wel op Windows 10, maar vergeleken bij de ingebouwde voorzieningen in Windows 10 biedt het geen voordelen. En ook de mogelijkheid om via EMET te reageren op nieuwe bedreigingen die tussen twee releases opkomen, is irrelevant geworden. Windows 10 wordt veel frequenter geüpdate dan voorgaande versies, juist ook met verbeterde beschermingsmethodes.

De niet-verrassende conclusie die Microsoft trekt, is dat EMET niet langer nodig is. Het houdt de toolkit op verzoek van klanten wel langer in de lucht. In de normale lifecycle zou EMET op 27 januari 2017 uitgefaseerd worden. Microsoft voegt daar 18 maanden aan toe: 'end of life' voor EMET is nu 31 juli 2018. Daarna wordt de toolkit niet meer ondersteund of gepatcht.

'Microsoft maakt claim niet waar'

Will Dorman van het Amerikaanse Computer Emergency Respons Team is daar absoluut niet blij mee. Microsoft maakt die claim dat Windows 10 EMET overbodig maakt absoluut niet waar, stelt Dorman. In een overzicht maakt hij inzichtelijk, waar de toegevoegde waarde van EMET lag en nog ligt.

Het verschil dat EMET maakt

De afkortingen in de tabel staan voor:

  • Data Execution Prevention (DEP)
  • Structured Exception Handler Overwrite Protection (SEHOP)
  • Address Space Layout Randomization (ASLR)
  • Certificate Trust (Pinning)
  • Block Untrusted Fonts (Fonts)

Application-Specific Protection

  • Data Execution Prevention (DEP)
  • Structured Exception Handler Overwrite Protection (SEHOP)
  • Null Page Allocation (NullPage)
  • Heapspray Allocations (HeapSpray)
  • Export Address Table Access Filtering (EAF)
  • Export Address Table Access Filtering Plus (EAF+)
  • Mandatory Address Space Layout Randomization (ASLR)
  • Bottom-Up Randomization (BottomUpASLR)
  • ROP Mitigations
    • LoadLib
    • MemProt
    • Caller
    • SimExecFlow
    • StackPivot
  • Attack Surface Reduction (ASR)
  • Block Untrusted Fonts (Fonts)

Windows kan dus niet zonder EMET

De conclusie is onontkoombaar. Windows 10 biedt zonder EMET beduidend minder beveiliging dan mét. En hoewel er wel de nodige vooruitgang is geboekt ten opzichte van Windows 7, blijven er nog genoeg onvervulde wensen over. Met EMET is Windows 7 zelfs een stuk veilige dan Windows 10 zonder EMET.

Wat Dorman met name zorgen baart is, dat Microsoft voorbijgaat aan de belangrijkste reden om EMET te gebruiken: het beschermen van applicaties die niet alle beschikbare beschermingsmaatregelen hebben geïmplementeerd. Dat het besturingssysteem dat wel doet, maakt de applicatie die dat niet doet namelijk niet onkwetsbaar, constateert Dorman. Hij geeft daarvan een voor Microsoft pijnlijk voorbeeld: het compileert zelf niet eens alle onderdelen van Office 2010 met de  /DYNAMICBASE-vlag die aangeeft dat de functionaliteit compatibel is met Address Space Layout Randomization. En als Microsoft het zelf al niet doet voor al zijn software, hoe groot is dan de kans dat alle andere internet en externe leveranceirs van software dat wel doen?

Het nalaten van die maatregel in de compilatieslag blijft niet zonder gevolgen. Daardoor kan een aanvaller die beschermingsmethode omzeilen door een niet-DYNAMICBASE-bibliotheek in de geheugenruimte van de kwetsbare applicatie te laden, stelt Dorman. 'En wat doe je daar dan tegen? Dan draaien we EMET met inschakeling van applicatiespecifieke beschermingsmaatregelen', verzucht hij in zijn blog. Want die applicatiespecifieke beschermingsmaatregelen biedt Windows 10 niet.

Windows 10-bescherming vergt veel zelfwerkzaamheid

Windows 10 biedt wel een mechanisme dat Microsoft Control Flow Guard heeft gedoopt. Dat is werkzaam tegen corruptie van het geheugen, en zou de opzetjes waar Dorman zich zorgen om maakt moeten voorkomen. Probleem is allen dat CFG alleen werkt als de applicaties daarmee gecompileerd zijn. En als dat niet het geval is, levert die applicatie een kwetsbaarheid op, of het onderliggende besturingssysteem nu CFG gebruikt of niet, stelt Dorman.

Microsoft heeft zichzelf nu wel anderhalf jaar extra gegeven om de tekortkomingen die Dorman signaleert alsnog in te vullen. Maar in de tussentijd ben je gekke Henkie als je EMET niet gebruikt, stelt Dorman. Opwaarderen naar Windows 10 is wel een goed idee om hacks lastiger te maken. Maar EMET met applicatiebeschermende maatregelen zou je niet achterwege moeten laten als er geen factoren zijn die gebruik daarvan onmogelijk maken.

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen