マイクロソフトはEMET 5.5ベータ[1、2、3、4、5]をリリースしました。 EMETの新しいバージョンは、Windows 10のサポートと新しいセキュリティ機能を受け取りました。 不正なフォントファイルのメモリへの読み込みをブロックする「信頼できないフォントをブロックする」と呼ばれる、悪用に対抗する新しいメカニズムについて話している。 このような特別に作成されたTTFファイルは、エクスプロイトによって使用され、win32k.sysドライバーの脆弱性をトリガーします。
EMETはHIPSのようなツールではなく、ユーザーがプロセスにサードパーティコードを導入したり、さまざまなシステム操作を直接ブロックするなどの操作からシステムを保護することはできません。 代わりに、そのセキュリティ機能は、リモートコード実行(RCE)エクスプロイトのアクションをブロックすることを目的としています。これは、ユーザーのシステムで悪意のあるコードを自動的に配信および実行するサイバー犯罪者の一連のアクションの最初のリンクです(ドライブバイダウンロード)。
図 インターフェイスEMET 5.5ベータ。
実際、「信頼できないフォントをブロック」機能は、Windows 10に登場した組み込みのセキュリティ機能であり、いわゆるセットに属します。 緩和機能を活用します。 プロセスのOSで関数をアクティブにするには、
SetProcessMitigationPolicy API関数を
ProcessFontDisablePolicy引数(kernel32.dllライブラリ)と共に使用できます。 この機能は、システム全体、つまりすべてのプロセス(デフォルトでは無効)で有効にできます。これを行うには、レジストリキーHKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Kernel \および
MitigationOptionsパラメーターを使用します。詳細については
、エンタープライズ 。
図 選択したアプリケーションに対して、信頼できないフォントをブロック機能を有効にできます。
この
リンクからEMETをダウンロードできます。
安全である。