FFRI,Inc.
1
Monthly Research
EMET 4.0の調査
株式会社FFRI
http://www.ffri.jp
Ver 2.00.01
FFRI,Inc.
• Enhanced Mitigation Experience Toolkit
• マイクロソフトが提供する脆弱性緩和ツール
• 最新版4.0が2013年6月にリリース
EMET概要
2
FFRI,Inc.
• Certificate Trust
– 4.0で新たに登場した機能。IEのSSL証明書のより厳格な検証
• 脆弱性防御の強化、回避策のブロック
– ROP対策を回避する手法をブロック
– ASLR, DEPを回避する攻撃...
FFRI,Inc.
• Internet Explorerの証明書のチェックを厳格なルールにすることが可能
• SSL通信のMan in the Middle攻撃に対する対策
• これまでの問題
– Windowsは証明書を一括管理
– ルート...
FFRI,Inc.
Certificate Trust
• 実際の動作について検証
– 2つの認証局をテスト用に用意
– それぞれから発行された証明書を作成
2つの認証局から192.168.1.181向けに発行された証明書
5
FFRI,Inc.
Certificate Trust
• 両テスト用認証局をルート証明機関として登録
6
FFRI,Inc.
Certificate Trust
• どちらの証明書も、SSL証明書としてIEは問題なく受け付ける
7
FFRI,Inc.
Certificate Trust
• EMET 4.0で、ca1.ffri.jpから発行された証明書のみを192.168.1.181で
有効とみなすように設定
MyRuleとしてca1.ffri.jpを認証局として設定 1...
FFRI,Inc.
Certificate Trust
• iexplore.exeをEMETの保護対象に指定
9
FFRI,Inc.
Certificate Trust
• IEでca2.ffri.jpの発行した証明書を利用して192.168.1.181と通信しようと
した場合、アラートが表示される
※アラートの表示はあるが、ブロックはしない
10
FFRI,Inc.
脆弱性防御の強化 – Deep Hook
• これまでのROP検知では、監視するAPIのひとつとしてkernel32.dll内のVirtualAlloc APIがあっ
た。
• VirtualAllocより下位層のkerne...
FFRI,Inc.
脆弱性防御の強化 – Anti Detours
• EMETはAPIフックを利用(関数の先頭部分を書き換える)してAPI呼び出しを監視
• APIフックをバイパスするエクスプロイトが出現
– シェルコード内で関数のオリジナル...
FFRI,Inc.
脆弱性防御の強化 – Banned API
• CanSecWest 2013にて、ASLR, DEPをバイパスするエクスプロイト方法が
発表された
http://cansecwest.com/slides/2013/DEP...
FFRI,Inc.
参考資料
• http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-
0-now-available-for-download.aspx
• http://blog...
FFRI,Inc.
Contact Information
E-Mail : research—feedback@ffri.jp
Twitter: @FFRI_Research
15
Upcoming SlideShare
Loading in …5
×

Mr201307 investigation into_emet4.0_jpn

428 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
428
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Mr201307 investigation into_emet4.0_jpn

  1. 1. FFRI,Inc. 1 Monthly Research EMET 4.0の調査 株式会社FFRI http://www.ffri.jp Ver 2.00.01
  2. 2. FFRI,Inc. • Enhanced Mitigation Experience Toolkit • マイクロソフトが提供する脆弱性緩和ツール • 最新版4.0が2013年6月にリリース EMET概要 2
  3. 3. FFRI,Inc. • Certificate Trust – 4.0で新たに登場した機能。IEのSSL証明書のより厳格な検証 • 脆弱性防御の強化、回避策のブロック – ROP対策を回避する手法をブロック – ASLR, DEPを回避する攻撃に利用されるAPI呼び出しの禁止 • Early Warning Programs – EMETが攻撃を検知した際に、その検知内容をMicrosoftに通知するよう にできるオプション • Audit Mode – EMETが攻撃を検知した際にプロセスを終了せず、アラートのみを上げるオ プション Certificate Trustおよび脆弱性防御の強化について今回は注目 EMET 4.0の主な新たな機能・更新 3
  4. 4. FFRI,Inc. • Internet Explorerの証明書のチェックを厳格なルールにすることが可能 • SSL通信のMan in the Middle攻撃に対する対策 • これまでの問題 – Windowsは証明書を一括管理 – ルート証明機関として複数の証明書が登録されている – どれか一つのルート証明機関の秘密鍵が漏洩する(または証明機関に何 らかの不備がある)と、偽のSSL証明書が作成される可能性がある。 (IEのSSL証明書チェーンのチェックでは、信頼するルート証明機関 のいずれかの署名があることを確認する) • EMET 4.0での対策 – 予め、特定のWebサイトのSSL証明書の署名として許されるルート証明機 関を指定し、限定する Certificate Trust 4
  5. 5. FFRI,Inc. Certificate Trust • 実際の動作について検証 – 2つの認証局をテスト用に用意 – それぞれから発行された証明書を作成 2つの認証局から192.168.1.181向けに発行された証明書 5
  6. 6. FFRI,Inc. Certificate Trust • 両テスト用認証局をルート証明機関として登録 6
  7. 7. FFRI,Inc. Certificate Trust • どちらの証明書も、SSL証明書としてIEは問題なく受け付ける 7
  8. 8. FFRI,Inc. Certificate Trust • EMET 4.0で、ca1.ffri.jpから発行された証明書のみを192.168.1.181で 有効とみなすように設定 MyRuleとしてca1.ffri.jpを認証局として設定 192.168.1.181にMyRuleを設定 8
  9. 9. FFRI,Inc. Certificate Trust • iexplore.exeをEMETの保護対象に指定 9
  10. 10. FFRI,Inc. Certificate Trust • IEでca2.ffri.jpの発行した証明書を利用して192.168.1.181と通信しようと した場合、アラートが表示される ※アラートの表示はあるが、ブロックはしない 10
  11. 11. FFRI,Inc. 脆弱性防御の強化 – Deep Hook • これまでのROP検知では、監視するAPIのひとつとしてkernel32.dll内のVirtualAlloc APIがあっ た。 • VirtualAllocより下位層のkernelbase.dll内のVirtualAllocまたは、ntdll.dll内の NtAllocateVirtualMemoryを直接利用された場合、検知できない • Deep Hookオプションを有効にすることで、これらも監視 • VirtualAlloc以外の監視APIも同様に対応するAPIが監視される VirtualAlloc (kernel32.dll) VirtualAlloc (kernelbase.dll) NtAllocateVirtualMemory (ntdll.dll) Windowsカーネル 通常のEMETの監視対象 Deep Hookオプション有効時 にはこれらも監視 11
  12. 12. FFRI,Inc. 脆弱性防御の強化 – Anti Detours • EMETはAPIフックを利用(関数の先頭部分を書き換える)してAPI呼び出しを監視 • APIフックをバイパスするエクスプロイトが出現 – シェルコード内で関数のオリジナルの先頭部分を実行してから、APIフックのために書 き換えた部分をバイパスしてAPIへジャンプ • Anti Detoursは書き換え部分の後、数バイト(ランダムな数)を0xCC(実行すると 例外発生)で埋めることで、このエクスプロイトを失敗させる フックのために ジャンプ命令で置き換え 0xCC * 数バイト 監視APIの先頭部分 オリジナルの命令列 (従来より数バイト多くとる) EMETは事前にコピーしておき、利用 シェルコード オリジナルの命令列 エクスプロイトはオリジナルの命 令列をあらかじめシェルコード内 に埋め込み実行してからAPIへ ジャンプ オリジナルの命令列 フックを回避してジャンプする がクラッシュ 12
  13. 13. FFRI,Inc. 脆弱性防御の強化 – Banned API • CanSecWest 2013にて、ASLR, DEPをバイパスするエクスプロイト方法が 発表された http://cansecwest.com/slides/2013/DEP-ASLR%20bypass%2 0without%20ROP-JIT.pdf • その攻撃過程でntdll.dll内のLdrHotPatchRoutineが利用された • Banned APIオプションを有効にすると、特定のAPI呼び出しが禁止される (4.0ではLdrHotPatchRoutineのみが対象となっている) 13
  14. 14. FFRI,Inc. 参考資料 • http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4- 0-now-available-for-download.aspx • http://blogs.technet.com/b/srd/archive/2013/05/08/emet-4- 0-s-certificate-trust-feature.aspx • http://recon.cx/2013/slides/Recon2013-Elias%20Bachaalany- Inside%20EMET%204.pdf 14
  15. 15. FFRI,Inc. Contact Information E-Mail : research—feedback@ffri.jp Twitter: @FFRI_Research 15

×