EMET 4.0/4.1のSEHOPおかしくね?

っていう。
0

読むのが面倒くさいひとへ

鈴木友紀 @0xbadfca11

結論「システム設定でSEHOPを有効にせよ」

2013-06-19 21:14:32

箇条書きで問題まとめ

  • SEHOP自体はVista SP1で導入されたがシステム全体でのOn/Offしかできなかった
  • アプリ単位でのOn/Offが出来るようになったのは7から。
  • 一方EMETは今まで(4.0βまで)アプリ単位のSEHOPにWindowsのそれを使わずにSEHOPを実装していた
  • だからXPでも使えた
  • 代わりにWindowsのSEHOPでは動くがEMETのSEHOPでは動かないという互換性問題が発生していた
  • EMET 4.0のアプリ単位のSEHOPにXPではEMETの実装を、7/8ではWindowsのレジストリを設定してWindowsの実装を使うようになった
  • Vistaがハブられた
  • なぜかEMET 4.1でWindowsの実装を使うのを止めた。
リンク blogs.msdn.com Enhanced Security with SEHOP - IEInternals - Site Home - MSDN Blogs Internet Explorer Internals and Developer Information
リンク blogs.technet.com SEHOP per-process opt-in support in Windows 7 - Security Research & Defense - Site Home - TechNet Blogs Microsoft Security Research & Defense: Microsoft information on security mitigations, workarounds, and other technical leadership for better actionable guidance.
鈴木友紀 @0xbadfca11

EMET実装の方のSEHOPがVistaで機能してない。4.0+7/8ではper-processもWindows側の実装を使うようになっているようで、8でDisabledにした時はAppの方も有効にならないようなのでenbugか?

2013-06-18 19:02:03
鈴木友紀 @0xbadfca11

EMET 3.0では機能してるなぁ。

2013-06-18 19:30:56
鈴木友紀 @0xbadfca11

EMET 4.0では極力Windows実装のSEHOPを使うようになったけど(互換性向上のためだろう)今までEMET実装が使われていた場面で漏れが発生してる。 EMET 3.0/4.0 SEHOP Implementation - https://t.co/dmAe6dqy8x

2013-06-19 20:53:52

EMET_Conf --set <テストアプリ> +SEHOP をしながらシステム設定を変えつつどちらの実装で引っかかるかのテスト結果
EMET notifierから通知が来ればEMET
VEHで捕捉できればWindows
そのままSEHハンドラが実行出来たら無効

リンク docs.google.com Welcome to Google Docs
鈴木友紀 @0xbadfca11

Windows 7でEMET実装が使われるケースがあるけど、レジストリを直接いじらないと起こらない状況なので表には入れてないけど、その状況でもVistaでは有効にならなかった。

2013-06-19 20:56:49

以下蛇足

鈴木友紀 @0xbadfca11

EMETのSystem Status表示間違ってる。 Vista DisableExceptionChainValidation==1(既定値)⇒無効 DECV==0⇒有効 DECV無し⇒有効 7 DECV==1⇒無効 DECV==0⇒有効 DECV無し(既定値)⇒無効 が実挙動

2013-06-18 18:33:08
鈴木友紀 @0xbadfca11

現時点で気づいたEMET 4.0の不具合らしきもの[未検証] ・VistaでAppsのSEHOPが変更できない ・8でMitigationOptionsが存在してないとSystemのSEHOPがDisabled(AlwaysOff)扱いになってAppsのSEHOPが変更できない

2013-06-18 15:36:39
鈴木友紀 @0xbadfca11

AlwaysOn又はDisabled(AlwaysOff)になっている時は変更できないというのは整合性があるように見えるが、その実装を使わずに実現している場合にそのルールを適用するのはどうなんじゃ?

2013-06-18 20:35:23
鈴木友紀 @0xbadfca11

これも全てWindows Vistaって奴の仕業なんだ。

2013-06-18 23:01:30
鈴木友紀 @0xbadfca11

Vista/8/8.1でEMET 4.1のSEHOPが全く機能していないように見える。7では3.xの頃のEMET実装使ってた時と同じ動作してる。4.0がやってたWindowsのSEHOPのOptInを使わなくなってるし先祖返りしてないかこの部分。

2013-11-14 00:00:43
鈴木友紀 @0xbadfca11

EMET 4.1のSEHOPは8で動かなくなったんじゃなくて、DisableExceptionChainValidation値が無し(OptIn表示、7/8/8.1のデフォルト)だと動いて、値が1(OptIn表示)だと動かないって言う禿げ上がりそうな事になってた。7も同じ。

2013-11-22 19:27:57
徳丸 浩 @ockeghem

EMET4.1を導入したらChrome上のLastpassとFlashがクラッシュして、SEHOPを無効にしたら直った。その後検索したらこの記事にも同じことが書いてあった。 不具合にイライラ -ChromeとEMETの競合- http://t.co/hpnf80XDjU

2013-11-15 23:38:40
かいと(kaito834) @kaito834

chrome.exeにEMET 4.1の All Mitigationsを有効にしていたら、Google Chrome を起動するときにクラッシュするようになった。「SEHOP」Mitigationだけ無効にしたら再現しなくなった。 http://t.co/4CSDDhgmOM

2013-11-18 20:07:35
拡大
touji@t3 @toujitwtt

EMET 4.1(on Win7 SP1)でIE10がこける件。ipexploere.exeの登録からSEHOPのチェックを外せばOKだった(そこが穴になるけど)。ieの64bit実行部分にEMET内部で適用外の機能を誤って適用してるのかもしれない、とマニュアルを見て思った。

2013-11-30 07:45:54